Jestem programistą, który utknął próbując zarządzać konfiguracją Active Directory dla małej firmy. Kontroler domeny działa w systemie Windows Small Business Server 2008.
Mamy pracowników terenowych korzystających z tabletów; problemy z konfiguracją bloatware ThinkVantage na tablecie będą wymagały od tych użytkowników posiadania uprawnień administratora podczas korzystania z tabletów. Zgadza się - przydatne są dla nich szerokie uprawnienia, gdy przeprowadzam je przez telefon, więc nie szukam obejścia.
Chciałbym użyć zasad grupy do skonfigurowania następującego scenariusza: Użytkownicy w określonej grupie zabezpieczeń (lub jednostce organizacyjnej) powinni znajdować się w grupie BUILTIN / Administratorzy, gdy są zalogowani na komputerach w określonej grupie zabezpieczeń (lub jednostce organizacyjnej). W porządku, jeśli komputery muszą znajdować się w jednostce organizacyjnej, ale wolałbym przypisywać użytkowników według grup.
Oczywiście pracownicy terenowi nie powinni być administratorami na innych stacjach roboczych, a waniliowy personel biurowy nie powinien być administratorem na tablecie.
Obecnie jest to zarządzane lokalnie na każdym tablecie, ale wraz z dodawaniem nowych pracowników staje się to coraz trudniejsze.
Wydaje mi się, że grupy z ograniczeniami są tutaj odpowiedzią, ale bez solidnego uzasadnienia w koncepcjach i metodach AD mam trudności z realizacją.
Jaka jest właściwa technika do tego zadania i jak miałabym je realizować?
Odpowiedź Izzy jest dobra, jeśli nie przejmujesz się, że grupa Administratorzy zostanie skutecznie zablokowana przed przyszłymi zmianami z lokalnego komputera. Spowoduje to również usunięcie wszystkich grup, które były już członkami grupy Administratorzy przed zastosowaniem ustawienia zasad.
Możesz jednak użyć tego samego ustawienia zasad w nieco inny sposób, aby ominąć te irytacje (zakładając, że nawet uważasz je za irytacje).
Jest to subtelna, ale ważna różnica w sposobie działania dwóch sekcji. Członkowie tej grupy skutecznie działają w taki sposób, że „Grupa A będzie zawierała tylko Grupy X, Y i Z”. Ta grupa należy do grupy skutecznie działającej jako „Upewnij się, że grupa A jest członkiem grup X, Y i Z”.
Po ustawieniu zasad dla członków tej grupy jedyną rzeczą, która może zmodyfikować członkostwo w grupie, jest nadrzędny obiekt zasad, który również korzysta z członków tej grupy lub innych zasad korzystających z tej grupy .
źródło
Wydaje się, że wszystko, co naprawdę musisz zrobić, to utworzyć zasady grupy, które dodają grupę domen do lokalnej grupy administratorów. Można to łatwo zrobić za pomocą prostego skryptu uruchamiania lub Preferencji zasad grupy .
Prosty skrypt startowy do dodawania członków grupy.
źródło
Jedyny problem z wymienionym rozwiązaniem polega na tym, że przyznaje on lokalnym administratorom prawa do wszystkich komputerów, na których obowiązują te zasady. Zazwyczaj chciałbyś przyznać uprawnienia administratora tylko określonej maszynie. Zauważyłem, że gdy użytkownik zdaje sobie sprawę, że ma lokalne uprawnienia administratora, instaluje oprogramowanie dla wszystkich swoich partnerów.
Można to zrobić na wiele różnych sposobów, ale mogę tylko zasugerować jeden. Wykonaj powyższe kroki, ale także utwórz grupę dla każdego komputera, na którym użytkownicy potrzebują dodatkowych uprawnień. Każda z tych „grup komputerów” jest dodawana do grupy myDomain \ Local-Admins.
Użytkownicy są następnie dodawani do grupy odpowiadającej urządzeniu, do którego potrzebują dostępu.
Są więc administratorem, ale tylko tą maszyną.
źródło
Mówisz, że dodawanie nowych pracowników jest kłopotliwe, ale czy nie powinno to być dodawanie nowych tabletów, które byłyby kłopotliwe?
Zrobiłbym coś w ten sposób:
Mieć grupę zabezpieczeń domeny, która zawiera wszystkich użytkowników, którzy powinni być administratorami na komputerach typu Tablet (tj. TabletAdministrators).
Na każdym tablecie dodaj tę grupę do grupy Administratorzy.
Czy to jest właściwa technika, czy nie, nie wiem. To tylko pierwszy pomysł, który przychodzi mi do głowy, jak wdrożyć.
źródło
Napisałem skrypt, który działa jako zasada komputera z prawami administracyjnymi na lokalnej stacji roboczej. Sprawdza opis ostatniego zalogowanego użytkownika w AD, który administrator domeny może ustawić z „Użytkownicy i komputery usługi Active Directory”, jeśli zawiera nazwę stacji roboczej, skrypt dodaje użytkownika do lokalnej grupy administracyjnej, jeśli nazwa stacji roboczej nie znajduje się w Opis użytkownika, usuwa użytkownika z lokalnej grupy administracyjnej. Opis może zawierać więcej niż jedną nazwę komputera, na przykład:
Opis użytkownika: „Lokalny administrator na WKST-E445R i WKST-VM398”
Aby więc uczynić kogoś lokalnym administratorem tylko na jednym komputerze, muszę tylko dodać nazwę tego komputera do opisu użytkownika w AD i poprosić użytkownika o ponowne uruchomienie , a usunięcie nazwy komputera usuwa uprawnienia lokalnego administratora.
Czy to nie jest najładniejsze rozwiązanie? :-)
Oto skrypt:
źródło