Como criar um “administrador de domínio” limitado que não tem acesso aos controladores de domínio?


14

Estou procurando criar uma conta semelhante a um administrador de domínio, mas sem acesso a controladores de domínio. Em outras palavras, essa conta terá direitos totais de Administrador em qualquer máquina cliente no domínio, poderá adicionar máquinas ao domínio, mas terá apenas direitos de usuário limitados aos servidores.

Essa conta será usada por uma pessoa em um tipo de função de suporte técnico do usuário final. Eles devem ter acesso total às máquinas clientes para instalar drivers, aplicativos, etc ... mas eu não os quero nos servidores.

Embora eu provavelmente possa juntar algo por meio de políticas, provavelmente será uma bagunça, então imaginei que deveria perguntar: Qual é a maneira correta de fazer isso?

Respostas:


15

Fazemos algo semelhante a isso em nossos escritórios remotos. Primeiro, crie um grupo para os psuedo-admins no domínio. No AD, delegue o controle às UOs que eles talvez precisem gerenciar (criar / excluir contas ou talvez apenas redefinir senhas ou nada).

Em seguida, use a Diretiva de Grupo para adicionar seu grupo ao grupo de administradores locais nas estações de trabalho e servidores usando Computador \ Configurações do Windows \ Configurações de Segurança \ Grupos Restritos . Não implante esta política na UO dos controladores de domínio ou nas UOs que contêm seus servidores.

Obviamente, isso depende de ter um AD configurado de maneira a separar os sistemas clientes dos servidores.


3

À medida que avançamos nos ambientes do Active Directory, em que o UAC é um recurso padrão, você também precisa levar isso em consideração.

Somente por padrão A conta local do Administrador e os membros dos Administradores do Domínio obtêm elevação automática e isso é necessário para muitas coisas (conectar-se a compartilhamentos de administradores remotos é um, aparentemente é um problema com a configuração do MSMQ e do NLB também, tenho certeza de que existem outros) simplesmente colocar um novo grupo na conta local de Administradores pode não ser suficiente.

Para contornar isso, você deve modificar a Diretiva de Segurança "Controle de Conta de Usuário: Comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador" em Diretivas Locais, Configurações de Segurança Local e defina o valor como "Sem Prompt" . Esperamos que a Microsoft crie uma maneira mais direcionada de fazer isso no futuro (ou corrija os casos extremos em que o prompt de aprovação exigido será AWOL).



0

Configure um grupo de permissões, faça com que os computadores que você deseja que ele seja capaz de administrar membros desse grupo e dê a ele controle total sobre as coisas que estão nesse grupo.

Bem direto. O Active Directory foi criado para esse tipo de problema. Basta criar uma nova pasta de grupo e alterar as configurações de segurança em propriedades.


Como ele oferece aos membros deste grupo a capacidade de adicionar e remover estações de trabalho do domínio?
#

@tomjedrz Boa chamada. Não vi esse pedaço. Não sei ... Não permitimos que as pessoas percam o domínio se não forem administradores completos.
11789 Satanicpuppy

Você pode delegar direitos [limitados] a OUs específicas para contas de nível inferior, mas convém preencher previamente contas de máquina na OU apropriada para evitar confusão.
Helvick
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.