Как создать ограниченного «администратора домена», который не имеет доступа к контроллерам домена?

14

Я ищу создать учетную запись, похожую на администратора домена, но без доступа к контроллерам домена. Другими словами, эта учетная запись будет иметь полные права администратора для любого клиентского компьютера в домене, иметь возможность добавлять компьютеры в домен, но иметь только ограниченные права пользователя на серверы.

Эта учетная запись будет использоваться лицом, выполняющим роль технической поддержки конечного пользователя. Они должны иметь полный доступ к клиентским машинам для установки драйверов, приложений и т. Д., Но я не хочу, чтобы они были на серверах.

Хотя я, возможно, сам мог бы что-то собрать вместе с помощью политики, это, вероятно, будет грязно, поэтому я решил, что мне следует спросить: как правильно поступить?

Boden
источник

Ответы:

15

Мы делаем нечто подобное в наших удаленных офисах. Сначала создайте группу для psuedo-admin в домене. В AD делегируйте управление подразделениям, которые им могут понадобиться (создать / удалить учетные записи, или просто сбросить пароли, или вообще ничего).

Затем с помощью групповой политики добавьте свою группу в группу локальных администраторов на рабочих станциях и серверах, выбрав « Компьютер \ Настройки Windows \ Параметры безопасности \ Группы с ограниченным доступом» . Не развертывайте эту политику в подразделениях контроллеров домена или подразделениях, содержащих ваши серверы.

Это, очевидно, зависит от настройки AD таким образом, чтобы отделить клиентские системы от серверов.

Дуг Люксем
источник
3

По мере продвижения вперед в средах Active Directory, где UAC является стандартной функцией, вы также должны будете это учитывать.

Только по умолчанию Локальная учетная запись администратора и члены администраторов домена получают автоматическое повышение прав, и это необходимо для многих целей (подключение к удаленным общим ресурсам администратора - одно, очевидно, это проблема с настройкой MSMQ и NLB, я уверен, что есть и другие) простого размещения новой группы в локальной учетной записи администратора может быть недостаточно.

Чтобы обойти это, вы должны изменить «Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором» Политики безопасности в разделе «Локальные политики», «Локальные параметры безопасности» и установить значение «Без приглашения» . Надеемся, что Microsoft предложит более целевой способ сделать это в будущем (или исправит крайние случаи, когда требуемый запрос на одобрение переходит в AWOL).

Helvick
источник
2

Попробуй это. Это самый простой способ, который я нашел до сих пор: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx По сути, щелкните правой кнопкой мыши папку «КОМПЬЮТЕРЫ» в AD и выберите «Делегировать управление». Следуй за волшебником. Работает во всех версиях сервера.

Алан
источник
0

Настройте группу разрешений, настройте компьютеры, на которых вы хотите, чтобы он мог администрировать членов этой группы, и дайте ему полный контроль над вещами, которые находятся в этой группе.

Довольно просто. Active Directory фактически создана для такого рода проблем. Просто создайте новую групповую папку и измените настройки безопасности в свойствах.

Satanicpuppy
источник
Как он дает членам этой группы возможность добавлять и удалять рабочие станции из домена?
Tomjedrz
@tomjedrz Хороший звонок. Не видел этого. Я не знаю ... Мы не позволяем людям шутить в домене, если они не полные администраторы.
Satanicpuppy
Вы можете делегировать [ограниченные] права конкретным подразделениям на учетные записи более низкого уровня, но вы можете заранее заполнить учетные записи компьютеров в соответствующем подразделении, чтобы избежать путаницы.
Хелвик