วิธีสร้าง“ ผู้ดูแลระบบโดเมน” ที่ จำกัด ซึ่งไม่มีสิทธิ์เข้าถึงตัวควบคุมโดเมน

14

ฉันต้องการสร้างบัญชีที่คล้ายกับ Domain Admin แต่ไม่สามารถเข้าถึงตัวควบคุมโดเมน กล่าวอีกนัยหนึ่งบัญชีนี้จะมีสิทธิ์ผู้ดูแลระบบแบบเต็มสำหรับเครื่องไคลเอนต์ใด ๆ ในโดเมนสามารถเพิ่มเครื่องลงในโดเมน แต่มีสิทธิ์ของผู้ใช้ที่ จำกัด เฉพาะกับเซิร์ฟเวอร์

บัญชีนี้จะถูกใช้โดยบุคคลในบทบาทการสนับสนุนทางเทคนิคของผู้ใช้ปลายทาง พวกเขาควรมีสิทธิ์เข้าถึงเครื่องไคลเอนต์สำหรับการติดตั้งไดรเวอร์แอพพลิเคชั่น ฯลฯ ... แต่ฉันไม่ต้องการมันบนเซิร์ฟเวอร์

ในขณะที่ฉันอาจจะโยนบางสิ่งบางอย่างร่วมกันผ่านนโยบายมันอาจจะยุ่งดังนั้นฉันคิดว่าฉันควรถามว่า: อะไรคือวิธีที่เหมาะสมที่จะไปเกี่ยวกับเรื่องนี้?

security active-directory

— Boden
แหล่งที่มา

15

เราทำอะไรที่คล้ายกันในสำนักงานระยะไกลของเรา ก่อนอื่นให้สร้างกลุ่มสำหรับผู้ดูแลระบบ psuedo ในโดเมน ในโฆษณามอบหมายการควบคุมของ OU ที่พวกเขาอาจต้องจัดการ (สร้าง / ลบบัญชีหรืออาจแค่รีเซ็ตรหัสผ่านหรือไม่มีอะไรเลย)

จากนั้นใช้นโยบายกลุ่มเพื่อเพิ่มกลุ่มของคุณไปยังกลุ่มผู้ดูแลท้องถิ่นบนเวิร์กสเตชันและเซิร์ฟเวอร์โดยใช้คอมพิวเตอร์ \ Windows Settings \ การรักษาความปลอดภัยการตั้งค่า \ กลุ่มที่ถูก อย่าปรับใช้นโยบายนี้กับตัวควบคุมโดเมน OU หรือ OU ที่มีเซิร์ฟเวอร์ของคุณ

เรื่องนี้ขึ้นอยู่กับการกำหนดค่าโฆษณาอย่างชัดเจนเพื่อแยกระบบไคลเอนต์ออกจากเซิร์ฟเวอร์

— ดั๊กลักเซม
แหล่งที่มา

3

ในขณะที่เราก้าวไปข้างหน้าในสภาพแวดล้อมของ Active Directory โดยที่ UAC เป็นคุณสมบัติมาตรฐานคุณจะต้องคำนึงถึงสิ่งนั้นด้วย

ตามค่าเริ่มต้นเท่านั้นบัญชีผู้ดูแลระบบภายในและสมาชิกของ Domain Admins จะได้รับการยกระดับอัตโนมัติและสิ่งนี้จำเป็นสำหรับหลาย ๆ สิ่ง (การเชื่อมต่อกับผู้ดูแลระบบระยะไกลที่ใช้ร่วมกันเป็นหนึ่งดูเหมือนว่าเป็นปัญหากับการกำหนดค่า MSMQ และ NLB เช่นกัน เพียงแค่วางกลุ่มใหม่ลงในบัญชีผู้ดูแลระบบท้องถิ่นอาจไม่เพียงพอ

จะได้รับรอบนี้คุณจะต้องปรับเปลี่ยน"การควบคุมบัญชีผู้ใช้: พฤติกรรมของการยกระดับพรอมต์สำหรับผู้ดูแลระบบใน Admin อนุมัติ Mode"นโยบายการรักษาความปลอดภัยภายใต้นโยบายท้องถิ่นตั้งค่าความปลอดภัยในพื้นที่และตั้งค่าเป็น"ไม่พร้อมท์" หวังว่า Microsoft จะเกิดขึ้นกับวิธีการที่กำหนดเป้าหมายมากขึ้นในการทำสิ่งนี้ในอนาคต (หรือแก้ไขกรณีขอบที่พรอมต์การอนุมัติที่จำเป็นต้องไป AWOL)

— Helvick
แหล่งที่มา

2

ลองสิ่งนี้ มันเป็นวิธีที่ง่ายที่สุดที่ฉันพบ: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx เป็น หลักคลิกขวาที่โฟลเดอร์ 'คอมพิวเตอร์' ใน AD และเลือก 'การมอบสิทธิ์ควบคุม' ติดตามตัวช่วยสร้าง ใช้งานได้กับเซิร์ฟเวอร์ทุกรุ่น

— อลัน
แหล่งที่มา

0

ตั้งค่ากลุ่มการอนุญาตสร้างคอมพิวเตอร์ที่คุณต้องการให้เขาสามารถเป็นผู้ดูแลสมาชิกของกลุ่มนั้นและให้เขาสามารถควบคุมสิ่งต่าง ๆ ที่อยู่ในกลุ่มได้อย่างเต็มที่

ตรงไปตรงมาสวย Active Directory ทำขึ้นสำหรับปัญหาประเภทนั้นจริง ๆ แล้ว เพียงแค่สร้างโฟลเดอร์กลุ่มใหม่และเปลี่ยนการตั้งค่าความปลอดภัยภายใต้คุณสมบัติ

— Satanicpuppy
แหล่งที่มา

เขาให้ความสามารถแก่สมาชิกในกลุ่มนี้ในการเพิ่มและลบเวิร์กสเตชันออกจากโดเมนได้อย่างไร

— tomjedrz

@tomjedrz โทรดีมาก ไม่เห็นบิตนั้น ฉันไม่รู้ ... เราไม่อนุญาตให้ผู้คนเข้าไปยุ่งเหยิงในโดเมนหากพวกเขาไม่ใช่ผู้ดูแลเต็มรูปแบบ

— Satanicpuppy

คุณสามารถมอบสิทธิ์ [จำกัด ] ให้กับ OU เฉพาะสำหรับบัญชีระดับล่าง แต่คุณอาจต้องการจัดทำบัญชีเครื่องจักรใน OU ที่เหมาะสมเพื่อหลีกเลี่ยงความยุ่งเหยิง

— Helvick