Групова політика: права адміністратора для конкретних користувачів на конкретних комп’ютерах

11

Я програміст застряг у спробі адмініструвати налаштування Active Directory для невеликої компанії. Контролер домену працює під керуванням Windows Small Business Server 2008.

У нас є персонал польових працівників, які використовують планшетні ПК; проблеми з налаштуваннями програмного забезпечення ThinkVantage планшетного ПК вимагають від цих користувачів права адміністратора під час використання планшетних ПК. Це добре - їм корисно мати широкі привілеї, коли я проводжу їх через поправку по телефону, тому я не шукаю там роботи.

Я хотів би скористатися груповою політикою для встановлення наступного сценарію: Користувачі певної групи безпеки (або організаційного підрозділу) повинні бути в групі BUILTIN / Administrators під час входу на комп'ютери певної групи безпеки (або організаційного підрозділу). Добре, якщо комп’ютери повинні бути в ОУ, але я вважаю за краще призначити користувачів за групою.

Звичайно, працівники на місцях не повинні бути адміністраторами на інших робочих станціях, а співробітники офісу ванілі не повинні бути адміністраторами на планшетах.

Наразі це управляється локально на кожному планшеті, але, коли ми додаємо нові найми, це стає більше клопоту.

Я відчуваю, що обмежені групи - це відповідь тут, але без міцного обґрунтування концепцій та методів AD, мені важко зробити це.

Яка правильна техніка для цього завдання, і як би я почав його виконувати?

security  active-directory  permissions  group-policy 
WCWedin
джерело

Відповіді:

13

Створіть групу, щоб інкапсулювати користувачів (Local-Admins-Tablets) та додати їх до цієї групи

Створіть суб-OU поточних робочих станцій OU і помістіть сюди планшети (Workstations \ Tablets)

Створіть GPO (Local-Admins-Tablets-Policy) і зв’яжіть його з Workstations \ Tablets OU

У груповій групі встановіть наступне:

  • Конфігурація Comp - Політика - Налаштування Windows - Налаштування безпеки - Групи з обмеженням
  • Клацніть правою кнопкою миші, Додати групу
  • "Адміністратори", гаразд
  • Члени цієї групи: myDomain \ Local-Admins-Tablets

Перезавантажте ПК, і готово.

Майте на увазі, що налаштування "Обмежених груп" замінить список існуючих на локальному адміністраторі машин. Якщо у вас вже є інші користувачі / групи, вам потрібно буде також додати їх до цієї політики. Іншими прикладами можуть бути myDomain \ Domain Admins тощо

РЕДАКТУВАТИ: О, і змініть фільтрацію на GPO та додайте доменні комп’ютери . Найпростіший спосіб зробити це - застосувати оснащення MMC для управління груповою політикою (це можна отримати за допомогою інструментів віддаленого адміністрування сервера від Microsoft)

Іззі
джерело
5
+1. Тут є рішення групи з обмеженими можливостями. Gpupdate / force на робочих станціях достатньо, щоб зміни вступили в силу, не зважаючи на необхідність перезавантаження.
joeqwerty
Якщо планшети знаходяться в полі , зазвичай користувачеві простіше перезавантажити, ніж пояснити "відкритий cmd, введіть gpupdate / force / boot" тощо :)
Izzy
1
Використовуючи налаштування групової політики ( technet.microsoft.com/en-us/library/cc731892%28WS.10%29.aspx ), ви можете оновити локальну групу, не перезаписуючи нічого.
Зоредаче
1
Ну, це і зробило трюк! Лише два питання: я вважаю, що це повністю вибухне всіх поточних членів групи адміністраторів, включаючи місцевих користувачів, правда? Це може виявитися жахливим сюрпризом. Я припускаю, що це не вплине на обліковий запис адміністратора за замовчуванням; це нахабно мені?
WCWedin
1
Я ніколи цього не перевіряв, я завжди додавав Builtin \ Administrators до цієї групи обмежень. Пояс і підтяжки :)
Іззі
12

Відповідь Іззі чудова, якщо вам не байдуже, що група адміністраторів буде фактично заблокована від майбутніх змін з локальної машини. Це також знищить усі групи, які вже були членами групи адміністраторів до того, як було застосовано налаштування політики.

Однак ви можете використовувати ті самі налаштування політики дещо по-іншому, щоб обійти ці роздратування (якщо ви навіть вважаєте їх досадами).

  • Створіть структуру OU / Group так само, як і раніше
  • Коли ви перебуваєте у розділі Обмежених груп об’єкта групової політики, додайте групу, але замість того, щоб вказати адміністраторів , вкажіть YOURDOMAIN \ Local-Admins-Tablets .
  • У розділі "Ця група є членом" натисніть кнопку Додати та введіть адміністраторів

Це тонка, але важлива відмінність у роботі двох секцій. Члени цієї групи ефективно працюють над тим, що "Група А завжди міститиме групи X, Y і Z". Ця група є членом, який ефективно працює над тим, щоб бути "Переконайтесь, що група А є членом груп X, Y і Z".

Після встановлення політики з членами цієї групи , єдине, що може змінити членство в групі, є переважаючим об'єктом політики, який також використовує членів цієї групи або будь-яку іншу політику, яка використовує цю групу .

Райан Болгер
джерело
2

Схоже, що все, що вам потрібно зробити, це створити групову політику, яка додасть доменну групу до групи місцевих адміністраторів. Це досить легко досягти за допомогою простого сценарію запуску або з налаштуваннями групової політики .

Простий сценарій запуску для додавання членів групи.

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")
Зоредаче
джерело
Якщо припустити, що він використовує W2K8, чого я не можу сказати на основі його запитання.
joeqwerty
Налаштування клієнтської сторони підтримуються в домені 2003r2. У мене просто не було посилання на статтю 2003r2.
Зоредаче
Відредагував питання, щоб додати ОС. GPP, здається, добре підходить для цього сценарію, оскільки користувачі навряд чи зможуть змінити свої групи згодом, зробивши його тимчасовий характер суперечливим. Однак, розгортання передумов для кожної клієнтської машини здається величезним головним болем.
WCWedin
1
Ось чому це робити за допомогою простого сценарію запуску - це також простий варіант. Я вважаю, що вподобання корисні і для багатьох інших речей. Можливо, варто встановити їх для інших речей, які ви зможете виконати в майбутньому.
Зоредаче
1

Єдина проблема із переліченим рішенням полягає в тому, що він надає права місцевого адміністратора на всі машини, де застосовується ця політика. Зазвичай ви хочете надати права адміністратора лише для певної машини. Що я зауважував, це коли користувач розуміє, що має місцеві права адміністратора, він встановлює програмне забезпечення для всіх своїх товаришів по службі.

Існує кілька різних способів зробити це, але я можу просто запропонувати один. Тому виконайте описані вище дії, але також створіть групу для кожного комп’ютера, де користувачі потребують додаткових прав. Кожна з цих "Комп'ютерних груп" додається до групи myDomain \ Local-Admins.

Потім користувачі додаються до групи, яка відповідає машині, до якої вони потребують доступу.

Отже, вони є адміністратором, але тільки цієї машини.

Яків
джерело
0

Ви кажете, що додавати нові найми - це клопот, але чи не слід додавати нові планшети, які були б клопотами?

Я б щось робив у такий спосіб:

Створіть групу безпеки домену, яка містить усіх користувачів, які мають бути адміністраторами планшетних ПК (тобто планшетних адміністраторів).

На кожному планшеті додайте цю групу до групи адміністраторів.

Це правильна техніка чи ні, я не знаю. Це просто перша ідея, яка мені приходить про те, як реалізувати.

Барретт Якобсен
джерело
2
Його не слід додавати вручну до кожної машини. Це те, для чого
групова
1
Під час налаштування нового планшета я повинен додати до одного планшета 15 користувачів. Додаючи нового співробітника, я повинен додати одного користувача до 20 планшетів. І те й інше - це клопоти, але механізм ходіння від машини до машини робить останній процес втомливим і повільним. Ваш підхід суттєво полегшить це, навіть якщо це не особливо елегантно.
WCWedin
1
Поставте +1 на цьому голосуванні, щоб трохи повернути його. Це може бути не найкращим рішенням, але це правильне рішення. Люди не повинні брати участь у голосуванні за пропозицію правильного рішення лише тому, що це не найкраще рішення. Єдине, чого не вистачає в цьому рішенні, - це використання груп обмежених груп для автоматизації процесу додавання групи до групи локальних адміністраторів. Я кажу +1 за зусилля та за внесок у відповідь.
joeqwerty
0

Я написав сценарій, який працює як комп'ютерна політика з адміністративними правами на локальній робочій станції. Він перевіряє останній зафіксований Опис користувача в AD, який адміністратор домену може встановити з "Користувачів та комп'ютерів активного каталогу", якщо він містить ім'я робочої станції, сценарій додає користувача до локальної групи адміністратора, якщо ім'я робочої станції не знаходиться в Опис користувача, він видаляє користувача з локальної групи адміністратора. Опис може містити більше одного імені комп'ютера, наприклад, такий:

Опис користувача: "Місцевий адміністратор на WKST-E445R та WKST-VM398"

Отже, щоб зробити когось місцевим адміністратором на одній машині, я просто повинен додати ім'я цього комп’ютера до опису користувача в AD і попросити користувача перезавантажитись , а видалення імені комп'ютера видаляє права місцевого адміністратора.

Хіба це не найновіше рішення? :-)

Ось сценарій:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end
HeHe
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.