Як створити обмежений "адміністратор домену", який не має доступу до контролерів домену?

Я хочу створити обліковий запис, подібний до адміністратора домену, але без доступу до контролерів домену. Іншими словами, цей обліковий запис матиме повні права адміністратора на будь-якій клієнтській машині в домені, мати змогу додавати машини до домену, але матиме обмежені права користувачів на сервери.

Цей обліковий запис буде використовуватися особою в ролі технічної підтримки кінцевого користувача. Вони повинні мати повний доступ до клієнтських машин для встановлення драйверів, додатків тощо ..., але я не хочу їх на сервери.

Хоча я, мабуть, міг би щось скласти разом через політику, це, мабуть, буде безладно, тому я зрозумів, що слід запитати: який правильний шлях для цього?

Ми робимо щось подібне до цього у наших віддалених офісах. Спочатку створіть групу для psuedo-адміністраторів у домені. В AD делегуйте контроль OU, який їм може знадобитися керувати (створювати / видаляти акаунти, а може просто скидати паролі, або взагалі нічого).

Потім використовуйте групову політику, щоб додати свою групу до групи місцевих адміністраторів на робочих станціях та серверах, використовуючи Комп'ютер \ Налаштування Windows \ Налаштування безпеки \ Групи з обмеженнями . Не розгортайте цю політику до ОУ контролерів домену або ОУ, що містять ваші сервери.

Це, очевидно, залежить від налаштування AD, розробленого таким чином, щоб відокремити клієнтські системи від серверів.

По мірі просування в середовищі Active Directory, де UAC є стандартною функцією, вам також доведеться враховувати це.

За замовчуванням лише локальний обліковий запис адміністратора та члени домену адміністраторів отримують автоматичне піднесення, і це потрібно для багатьох речей (підключення до віддалених акцій адміністратора - це одне, мабуть, це проблема з налаштуванням MSMQ та NLB, я впевнений, що є й інші) просто розміщення нової групи в обліковому записі місцевих адміністраторів може бути недостатньою.

Щоб уникнути цього, вам слід змінити "Контроль облікових записів користувачів: Поведінка запиту про піднесення для адміністраторів у режимі затвердження адміністратора" Політика безпеки в рамках "Локальні політики", "Налаштування місцевої безпеки" та встановити значення на "Без запиту" . Будемо сподіватися, що в майбутньому Microsoft придумає більш цілеспрямований спосіб зробити це (або виправити крайні випадки, коли потрібне запит на затвердження буде AWOL).

Спробуйте це. Це найпростіший спосіб, який я знайшов поки що: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx По суті, клацніть правою кнопкою миші на папці "КОМП'ЮТЕРИ" в AD і виберіть "Делегат управління". Дотримуйтесь майстра. Працює у всіх версіях сервера.

Створіть групу дозволів, зробіть комп’ютери, на яких ви хочете, щоб він міг управляти членами цієї групи, і надайте йому повний контроль над речами, які перебувають у цій групі.

Досить прямо. Active Directory фактично створений для такого типу проблем. Просто створіть нову групову папку та змініть параметри безпеки у властивостях.