Soru Etki alanı denetleyicilerine erişimi olmayan sınırlı bir “etki alanı yöneticisi” nasıl oluşturulur?


Etki Alanı Yöneticisine benzer bir hesap oluşturmak istiyorum ancak etki alanı denetleyicilerine erişim olmadan. Diğer bir deyişle, bu hesap, alandaki herhangi bir istemci makinesine tam yönetici haklarına sahip olacak, alana makine ekleyebilecek, ancak sunuculara yalnızca sınırlı kullanıcı haklarına sahip olacaktır.

Bu hesap, son kullanıcı teknik destek türünde bir kişi tarafından kullanılacaktır. Sürücüleri, uygulamaları, vb. Yüklemek için istemci makinelerine tam erişime sahip olmalılar ... ama onları sunucularda istemiyorum.

Muhtemelen politikayla kendimi bir şeyler fırlatabilsem de, muhtemelen dağınık olacak ve ben de sormalıyım: uygun Bu konuda gitmek için bir yol?


12
2017-11-11 17:09


Menşei




Cevaplar:


Uzak ofislerimizde buna benzer bir şey yapıyoruz. Öncelikle, etki alanındaki psuedo-admins için bir grup oluşturun. AD'de, OU'lara denetim yetkisini vermeleri gerekebilir (hesapları oluşturma / silme, ya da yalnızca parolaları sıfırlama ya da hiç bir şey).

Daha sonra grubunuzu, iş istasyonları ve sunuculardaki yerel yöneticiler grubuna eklemek için Grup İlkesi'ni kullanın. Bilgisayar \ Windows Ayarları \ Güvenlik Ayarları \ Kısıtlı Gruplar. Bu ilkeyi, Etki Alanı Denetleyicileri OU'suna veya sunucularınızı içeren OU'lara dağıtmayın.

Bu açıkça, istemci sistemlerini sunuculardan ayırmak için yapılandırılmış bir AD'ye sahip olmakla ilgilidir.


15
2017-11-11 17:28





UAC'ın standart bir özellik olduğu Active Directory ortamlarına ilerlerken, bunu da hesaba katmanız gerekecektir.

Yalnızca varsayılan olarak Yerel Yönetici hesabı ve Etki Alanı Yöneticilerinin üyeleri otomatik olarak yükselir ve bu pek çok şey için gereklidir (uzak yönetici paylaşımlarına bağlanmak birdir, görünüşe göre MSMQ ve NLB'yi yapılandırma sorunu vardır, eminim başkaları da vardır) Yeni bir grubu yerel Yöneticiler hesabına yerleştirmek yeterli olmayabilir.

Bunu aşmak için değiştirmek zorunda "Kullanıcı Hesabı Denetimi: Yönetici Onay Modundaki yöneticiler için yükseltme isteminin davranışı" Yerel Politikalar, Yerel Güvenlik Ayarları altındaki Güvenlik Politikası ve değeri "İstemi Yok". İnşallah Microsoft, gelecekte bunu yapmak için daha planlı bir yolla gelecektir (veya gerekli onay istemi AWOL'un giderildiği durumları düzeltecektir).


3
2017-11-11 19:11





Bunu dene. Şimdiye kadar bulduğum en kolay yol: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx Esasen, AD'deki 'BİLGİSAYARLAR' klasörüne sağ tıklayın ve 'Denetim Yetkilisini' seçin. Sihirbazı takip et. Tüm sunucu sürümlerinde çalışır.


2
2018-05-16 15:24





Bir izin grubu oluşturun, istediğiniz bilgisayarları o grubun üyelerini yönetebilsin ve o gruptaki şeyler üzerinde tam kontrol sahibi olmasını sağlayın.

Oldukça basit. Active Directory aslında bu tür bir sorun için yapılır. Sadece yeni bir grup klasörü oluşturun ve özellikler altındaki güvenlik ayarlarını değiştirin.


0
2017-11-11 17:16



Bu grubun üyelerine etki alanından iş istasyonları ekleme ve kaldırma yeteneği nasıl veriyor? - tomjedrz
@tomjedrz İyi çağrı. O kadarını görmedim. Bilmiyorum ... Tam admins olmasa bile kullanıcıların alan adında dolaşmalarına izin vermeyiz. - Satanicpuppy
Belirli OU'lara [sınırlı] hakları alt düzey hesaplara devredebilir, ancak dağınıklığı önlemek için makine hesaplarını uygun OU'da önceden doldurmak isteyebilirsiniz. - Helvick