Etki alanı denetleyicilerine erişimi olmayan sınırlı bir “etki alanı yöneticisi” nasıl oluşturulur?

Etki alanı yöneticisine benzer, ancak etki alanı denetleyicilerine erişimi olmayan bir hesap oluşturmak istiyorum. Başka bir deyişle, bu hesap etki alanındaki herhangi bir istemci makine için tam Yönetici haklarına sahip olacak, etki alanına makine ekleyebilecek, ancak sunuculara yalnızca sınırlı kullanıcı haklarına sahip olacak.

Bu hesap, son kullanıcı teknik destek türündeki bir kişi tarafından kullanılacaktır. Sürücüleri, uygulamaları vb. Yüklemek için istemci makinelere tam erişime sahip olmalıdırlar ... ancak bunları sunucularda istemiyorum.

Muhtemelen bir şeyleri politika yoluyla bir araya getirebilmem mümkün olsa da, muhtemelen dağınık olacaktır, bu yüzden sormam gerektiğini düşündüm: Bu konuda doğru yol nedir ?

Uzak ofislerimizde buna benzer bir şey yapıyoruz. İlk olarak, etki alanındaki psuedo yöneticileri için bir grup oluşturun. AD'de, kontrolü yönetmeleri gereken OU'lara devredebilirsiniz (hesap oluşturma / silme veya parolaları sıfırlama veya hiçbir şey yapma).

Ardından, Computer \ Windows Settings \ Security Settings \ Restricted Groups kullanarak grubunuzu iş istasyonlarındaki ve sunuculardaki yerel yöneticiler grubuna eklemek için Grup İlkesi'ni kullanın . Bu ilkeyi Etki Alanı Denetleyicileri OU'suna veya sunucularınızı içeren OU'lara dağıtmayın.

Bu açıkça bir AD'nin istemci sistemlerini sunuculardan ayıracak şekilde yapılandırılmasına bağlıdır.

UAC'nin standart bir özellik olduğu Active Directory ortamlarına doğru ilerledikçe, bunu da dikkate almanız gerekir.

Yalnızca varsayılan olarak Yerel Yönetici hesabı ve Domain Admins üyeleri otomatik yükseklik elde eder ve bu birçok şey için gereklidir (uzak yönetici paylaşımlarına bağlanmak birdir, görünüşe göre MSMQ ve NLB'yi yapılandırmayla ilgili bir sorun, eminim başkaları da var) yerel Administrators hesabına yeni bir grup yerleştirmek yeterli olmayabilir.

Bu sorunu aşmak için "Kullanıcı Hesabı Denetimi: Yönetici Onay Modu'ndaki yöneticiler için yükseltme isteminin davranışı" Yerel İlkeler, Yerel Güvenlik Ayarları altındaki Güvenlik İlkesi'ni değiştirmeniz ve değeri "İstem Yok" olarak ayarlamanız gerekir . Umarım Microsoft gelecekte bunu yapmanın daha hedefli bir yolunu bulur (veya gerekli onay isteminin AWOL'a gittiği son durumları düzeltir).

Bunu dene. Şimdiye kadar bulduğum en kolay yol: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx Esas olarak, AD'deki 'BİLGİSAYARLAR' klasörünü sağ tıklayın ve 'Delege Denetimi'ni seçin. Sihirbazı takip edin. Tüm sunucu sürümlerinde çalışır.

Bir izin grubu oluşturun, bu grubun üyelerini yönetmesini istediğiniz bilgisayarları yapın ve ona o gruptaki şeyler üzerinde tam denetim sağlayın.

Oldukça basit. Active Directory aslında bu tür bir sorun için yapılır. Sadece yeni bir grup klasörü oluşturun ve özellikler altındaki güvenlik ayarlarını değiştirin.