Diretiva de grupo: direitos de administrador para usuários específicos em computadores específicos

Navegue suas respostas
10

Sou um programador que está tentando administrar uma configuração do Active Directory para uma pequena empresa. O controlador de domínio está executando o Windows Small Business Server 2008.

Temos uma equipe de funcionários de campo usando o tablet PC; problemas de configuração com o bloatware ThinkVantage do tablet exigirão que esses usuários tenham o direito de Administrador ao usar os tablets. Tudo bem - é útil para eles terem privilégios amplos quando eu estou passando por uma correção pelo telefone, então não estou procurando por um trabalho por aí.

Gostaria de usar a Diretiva de Grupo para configurar o seguinte cenário: Os usuários de um determinado grupo de segurança (ou unidade organizacional) devem estar no grupo BUILTIN / Administradores quando conectados a computadores em um determinado grupo de segurança (ou organização unidade). Tudo bem se os computadores precisam estar em uma UO, mas eu prefiro atribuir usuários por grupo.

Naturalmente, os funcionários de campo não devem ser Administradores em outras estações de trabalho, e a equipe de funcionários de escritório não deve ser administradores nos tablets.

Atualmente, isso está sendo gerenciado localmente em cada tablet, mas à medida que adicionamos novas contratações, está ficando mais complicado.

Eu sinto que os grupos restritos são a resposta aqui, mas sem uma base sólida nos conceitos e métodos do AD, estou tendo dificuldades em fazer isso acontecer.

Qual é a técnica adequada para essa tarefa e como eu poderia implementá-la?

    
por WCWedin 29.10.2009 / 18:25

6 respostas

12

Crie um grupo para encapsular os usuários (Local-Admins-Tablets) e adicione-os a este grupo

Crie uma sub-UO da OU atual das estações de trabalho e coloque os tablets aqui (Workstations \ Tablets)

Crie um GPO (Local-Admins-Tablets-Policy) e vincule-o à UO Workstations \ Tablets

No GPO, defina o seguinte:

  • Comp Config - Políticas - Configurações do Windows - Configurações de segurança - Grupos restritos
  • Clique com o botão direito, Adicionar grupo
  • "Administradores", OK
  • Membros deste grupo: myDomain \ Local-Admins-Tablets

Reinicie os PCs e pronto.

Lembre-se de que a configuração de grupos restritos sobrescreverá a lista existente de computadores dos administradores locais. Se você já tem outros usuários / grupos, você também precisará adicioná-los a essa política. Outros exemplos seriam myDomain \ Admins do domínio etc

EDIT: Ah, e altere a filtragem no GPO e adicione Computadores do Domínio . A maneira mais fácil de fazer isso é usar o snap-in do MMC de Gerenciamento de Diretiva de Grupo (você pode obter isso do Ferramentas de Administração de Servidor Remoto da Microsoft)

    
por 29.10.2009 / 18:32
10

A resposta da Izzy é boa se você não se importa que o grupo Administradores seja efetivamente bloqueado de futuras mudanças da máquina local. Isso também eliminará todos os grupos que já eram membros do grupo Administradores antes que a configuração de política seja aplicada.

No entanto, você pode usar a mesma configuração de política de uma maneira um pouco diferente para ignorar esses aborrecimentos (supondo que você os considere aborrecidos).

  • Crie a estrutura da UO / Grupo da mesma forma que antes
  • Quando você estiver na seção Grupos restritos do objeto de política de grupo, Adicionar grupo, mas em vez de especificar Administradores , especifique YOURDOMAIN \ Local-Admins-Tablets . / li>
  • No "Este grupo é membro da seção" , clique em Adicionar e digite Administradores

É uma diferença sutil, mas importante, na maneira como as duas seções funcionam. Os membros deste grupo efetivamente funcionam como "Grupo A sempre conterá os Grupos X, Y e Z". Esse grupo é um membro de efetivamente funciona como "Certifique-se de que o grupo A seja membro dos Grupos X, Y e Z".

Depois de definir a política com membros deste grupo , a única coisa que pode modificar a associação do grupo é um objeto de política substituto que também use membros desse grupo ou qualquer outra política usando este grupo é membro de .

    
por 29.10.2009 / 22:56
2

Parece que tudo o que você realmente precisa fazer é criar uma política de grupo que adicione um grupo de domínio ao grupo de administradores locais. Isso é fácil de realizar com um script de inicialização simples ou com as Preferências da Política de Grupo .

Script de inicialização simples para adicionar membros do grupo. 

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")
    
por 29.10.2009 / 18:47
1

O único problema com a solução listado é que concede direitos de administrador local a todas as máquinas em que essa política se aplica. Normalmente, você deseja conceder direitos de administrador somente a uma máquina específica. O que eu observei é que quando um usuário percebe que tem direitos de administrador local, ele instala o software para todos os seus companheiros.

Existem várias maneiras diferentes de fazer isso, mas posso sugerir apenas uma. Portanto, conclua as etapas acima, mas também crie um grupo para cada computador em que os usuários precisem de direitos adicionais. Cada um desses "Grupos de computadores" é adicionado ao myDomain \ Local-Admins grupo.

Os usuários são adicionados ao grupo que corresponde à máquina à qual eles precisam acessar.

Então eles são um administrador, mas apenas dessa máquina.

    
por 02.09.2010 / 03:24
0

Você diz que adicionar novas contratações é um incômodo, mas não deveria estar adicionando novos tablets que seriam um incômodo?

Eu estaria fazendo algo ao longo destas linhas:

Tenha um grupo de segurança de domínio que contenha todos os usuários que devem ser administradores nos tablet PCs (por exemplo, TabletAdministrators).

Em cada tablet, adicione esse grupo ao grupo Administradores.

Se esta é a técnica adequada ou não, eu não sei. É apenas a primeira ideia que me vem sobre como implementar.

    
por 29.10.2009 / 18:35
0

Eu escrevi um script que é executado como uma política de computador com direitos administrativos na estação de trabalho local. Ele verifica a última descrição do usuário no AD que um Administrador de Domínio pode definir em "Usuários e Computadores do Active Directory", se contiver o nome da estação de trabalho, o script adicionará o usuário ao grupo admin local, se o nome da estação de trabalho não estiver no Descrição do usuário, ele remove o usuário do grupo de administração local. Uma descrição pode incluir mais de um nome de computador, como este:

Descrição do usuário: "Admin local em WKST-E445R e WKST-VM398"

Para tornar alguém um administrador local em apenas uma máquina, basta adicionar o nome desse computador à Descrição do usuário no AD e solicitar que o usuário reinicie , e remover o nome do computador remove os direitos de administrador locais.

Essa não é a melhor solução de todas? : -)

Aqui está o script: 

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end
    
por 24.04.2015 / 15:27

Tags

Linux- É necessário um MTA? Nginx: milhares de server_name