Como criar um “administrador de domínio” limitado que não tenha acesso aos controladores de domínio?

Navegue suas respostas
12

Estou tentando criar uma conta semelhante a um administrador de domínio, mas sem acesso aos controladores de domínio. Em outras palavras, essa conta terá todos os direitos de administrador em qualquer máquina cliente no domínio, poderá adicionar máquinas ao domínio, mas terá apenas direitos limitados de usuário para os servidores.

Esta conta será usada por uma pessoa em um tipo de função de suporte técnico ao usuário final. Eles devem ter acesso total às máquinas clientes para instalar drivers, aplicativos, etc ... mas eu não os quero nos servidores.

Enquanto eu provavelmente poderia jogar algo juntos por meio de políticas, provavelmente será confuso, então imaginei que deveria perguntar: qual é a maneira correta de fazer isso?

    
por Boden 11.11.2009 / 18:09

4 respostas

15

Fazemos algo semelhante a isso em nossos escritórios remotos. Primeiro, crie um grupo para os psuedo-admins no domínio. No AD, delegue o controle para as UOs e elas podem precisar gerenciar (criar / excluir contas, ou talvez apenas redefinir senhas ou nada).

Em seguida, use a Política de Grupo para adicionar seu grupo ao grupo de administradores locais nas estações de trabalho e servidores usando Computador \ Configurações do Windows \ Configurações de Segurança \ Grupos Restritos . Não implante essa política na UO de Controladores de Domínio nem nas UOs que contêm seus servidores.

Isso obviamente depende de ter um AD configurado de maneira a separar os sistemas clientes dos servidores.

    
por 11.11.2009 / 18:28
3

À medida que avançamos para os ambientes do Active Directory, onde o UAC é um recurso padrão, você também precisará levar isso em consideração.

Por padrão somente A conta de Administrador local e membros de Admins. do Domínio obtêm elevação automática e isso é necessário para muitas coisas (conectar a compartilhamentos de administração remota é um, aparentemente é um problema com a configuração do MSMQ e NLB também, são outros) simplesmente colocar um novo grupo na conta local de Administradores pode não ser suficiente.

Para contornar isso, é necessário modificar a política de segurança "Controle de conta de usuário: comportamento da solicitação de elevação para administradores no modo de aprovação de administrador" em Políticas locais, locais Configurações de segurança e defina o valor como "Sem aviso" . Espera-se que a Microsoft venha com uma maneira mais objetiva de fazer isso no futuro (ou corrija os casos extremos em que o prompt de aprovação requerido passa a ser AWOL).

    
por 11.11.2009 / 20:11
2

Tente isso. É a maneira mais fácil que encontrei até agora: link Essencialmente, clique com o botão direito na pasta 'COMPUTERS' no AD e selecione 'Delegate Control'. Siga o assistente. Funciona em todas as versões do servidor.

    
por 16.05.2013 / 17:24
0

Configure um grupo de permissões, faça com que os computadores que você quer que ele seja capaz de administrar membros desse grupo e dê a ele controle total sobre as coisas que estão nesse grupo.

bastante simples. O Active Directory é feito para esse tipo de problema. Basta criar uma nova pasta de grupo e alterar as configurações de segurança nas propriedades.

    
por 11.11.2009 / 18:16

Tags

Como adicionar um arquivo a um contêiner docker que não possui permissões de root? Converta um disco rígido em uma máquina VMWare