Jak utworzyć ograniczonego „administratora domeny”, który nie ma dostępu do kontrolerów domeny?

Chcę utworzyć konto podobne do administratora domeny, ale bez dostępu do kontrolerów domeny. Innymi słowy, to konto będzie miało pełne uprawnienia administratora do dowolnego komputera klienckiego w domenie, będzie mogło dodawać komputery do domeny, ale będzie mieć ograniczone prawa użytkownika do serwerów.

To konto będzie używane przez osobę pełniącą rolę wsparcia technicznego dla użytkownika końcowego. Powinny mieć pełny dostęp do komputerów klienckich do instalowania sterowników, aplikacji itp., Ale nie chcę ich na serwerach.

Chociaż prawdopodobnie mógłbym sam coś poskładać dzięki polityce, prawdopodobnie będzie to bałagan, więc pomyślałem, że powinienem zapytać: Jak właściwie to zrobić?

Robimy coś podobnego w naszych odległych biurach. Najpierw utwórz grupę dla administratorów psuedo w domenie. W AD przekaż kontrolę nad jednostkami organizacyjnymi, którymi mogą zarządzać (utwórz / usuń konta, a może po prostu zresetuj hasła lub w ogóle nic).

Następnie użyj zasad grupy, aby dodać grupę do lokalnej grupy administratorów na stacjach roboczych i serwerach, używając opcji Komputer \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Grupy z ograniczeniami . Nie wdrażaj tej zasady w jednostce organizacyjnej kontrolerów domeny lub jednostkach organizacyjnych zawierających twoje serwery.

Zależy to oczywiście od skonfigurowania usługi AD w taki sposób, aby oddzielić systemy klienckie od serwerów.

W miarę przechodzenia do środowisk Active Directory, w których UAC jest standardową funkcją, należy również wziąć to pod uwagę.

Domyślnie tylko konto lokalnego administratora i członkowie administratorów domeny otrzymują automatyczne podniesienie uprawnień i jest to potrzebne do wielu rzeczy (łączenie się ze zdalnymi udziałami administracyjnymi jest jedno, najwyraźniej jest to problem z konfiguracją MSMQ i NLB, jestem pewien, że są inne) samo umieszczenie nowej grupy na lokalnym koncie Administratora może nie być wystarczające.

Aby obejść ten problem, należy zmodyfikować „ Zasady kontroli konta użytkownika: Zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora” w obszarze Zasady lokalne, Ustawienia zabezpieczeń lokalnych i ustawić wartość „Bez monitu” . Mamy nadzieję, że Microsoft wymyśli bardziej ukierunkowany sposób na zrobienie tego w przyszłości (lub naprawi skrajne przypadki, w których wymagany monit o zatwierdzenie przechodzi w stan AWOL).

Spróbuj tego. To najłatwiejszy sposób, jaki do tej pory znalazłem: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx Zasadniczo kliknij prawym przyciskiem myszy folder „KOMPUTERY” w AD i wybierz „Deleguj kontrolę”. Postępuj zgodnie z kreatorem. Działa we wszystkich wersjach serwera.

Skonfiguruj grupę uprawnień, spraw, aby komputery, na których ma on polegać, mogły administrować członkami tej grupy i dać mu pełną kontrolę nad elementami w tej grupie.

Całkiem proste. Usługa Active Directory jest faktycznie stworzona dla tego rodzaju problemów. Wystarczy utworzyć nowy folder grupy i zmienić ustawienia zabezpieczeń w obszarze właściwości.