Как создать ограниченный «администратор домена», который не имеет доступа к контроллерам домена?

Я ищу создать учетную запись, аналогичную Domain Admin, но без доступа к контроллерам домена. Другими словами, эта учетная запись будет иметь полные права администратора для любого клиентского компьютера в домене, иметь возможность добавлять компьютеры в домен, но имеет только ограниченные права пользователя на серверы.

Эта учетная запись будет использоваться лицом в роли поддержки технической поддержки конечного пользователя. Они должны иметь полный доступ к клиентским машинам для установки драйверов, приложений и т. Д., Но я не хочу их на серверах.

В то время как я мог бы, возможно, скомпоновать что-то вместе с помощью политики, это, вероятно, будет беспорядочно, поэтому я решил, что я должен спросить: что такое правильный способ сделать это?

12 голосов | спросил Boden 11 32009vEurope/Moscow11bEurope/MoscowWed, 11 Nov 2009 20:09:13 +0300 2009, 20:09:13

4 ответа


15

Мы делаем что-то подобное в наших удаленных офисах. Сначала создайте группу для psuedo-admins в домене. В AD, делегировать управление подразделениям, им может потребоваться управлять (создавать /удалять учетные записи или, возможно, просто сбрасывать пароли или вообще ничего).

Затем используйте групповую политику, чтобы добавить группу в группу локальных администраторов на рабочих станциях и серверах, используя Компьютер \ Параметры Windows \ Параметры безопасности \ Ограниченные группы . Не развертывайте эту политику в подразделении контроллеров домена или подразделениях, содержащих ваши серверы.

Это, очевидно, зависит от того, настроен ли AD, чтобы отделить клиентские системы от серверов.

ответил Doug Luxem 11 32009vEurope/Moscow11bEurope/MoscowWed, 11 Nov 2009 20:28:40 +0300 2009, 20:28:40
3

По мере продвижения вперед в средах Active Directory, где UAC является стандартной функцией, вам также придется принять это во внимание.

По умолчанию только учетная запись локального администратора и члены админов домена получают автоматическое повышение, и это необходимо для многих вещей (подключение к удаленным общим ресурсам администратора - одно, по-видимому, это проблема с настройкой MSMQ и NLB, я уверен, что там другие) просто размещение новой группы в локальной учетной записи администратора может оказаться недостаточным.

Чтобы обойти это, вы должны изменить "Контроль учетных записей пользователей: поведение запроса на повышение для администраторов в режиме одобрения администратора" Политика безопасности в разделе Локальные политики, локальные Параметры безопасности и установите значение «Нет запроса» . Надеюсь, Microsoft в будущем придумает более нацеленный способ сделать это (или исправить крайние случаи, когда требуемое приглашение на утверждение переходит в AWOL).

ответил Helvick 11 32009vEurope/Moscow11bEurope/MoscowWed, 11 Nov 2009 22:11:05 +0300 2009, 22:11:05
2

Попробуйте это. Это самый простой способ, который я нашел до сих пор: http://technet.microsoft.com/ru -us /библиотека /cc756087 (v ​​= WS.10) .aspx По существу, щелкните правой кнопкой мыши по папке «КОМПЬЮТЕРЫ» в AD и выберите «Управление делегатами». Следуйте указаниям мастера. Работает во всех версиях сервера.

ответил Alan 16 Maypm13 2013, 19:24:55
0

Настройте группу разрешений, сделайте компьютеры, на которых вы хотите, чтобы он мог управлять членами этой группы, и дать ему полный контроль над вещами, которые находятся в этой группе.

Довольно просто. Active Directory фактически создан для такого рода проблем. Просто создайте новую папку группы и измените параметры безопасности по свойствам.

ответил Satanicpuppy 11 32009vEurope/Moscow11bEurope/MoscowWed, 11 Nov 2009 20:16:54 +0300 2009, 20:16:54

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132