Eu tenho uma pequena rede baseada em Windows em nossa empresa, incl. um servidor Win2008 como controlador de domínio e um segundo servidor Win2003 mais antigo como um tipo de controlador de domínio de "backup". Agora eu quero que um dos meus colegas de trabalho acesse o servidor Win2003, incl. privilégios de administração local.
No entanto, essa conta só deve receber direitos de administrador local nesse servidor, nada mais. Então, basicamente, quero impedir que essa conta acesse ou pelo menos modifique as configurações de domínio do Windows (Active Directory). Nem ele deve ser capaz de entrar em qualquer outra máquina, exceto este servidor antigo. Ele deve ser capaz de (des) instalar programas e iniciar / parar serviços, apesar disso.
Qualquer maneira de fazer isso? Agradecemos antecipadamente por sua ajuda!
Atenciosamente, Matthias
Você não pode tornar alguém um administrador em um DC e impedi-los de acessar coisas como ADUC, GPO, etc. Você estaria fazendo deles um membro de Administradores internos no domínio, o que permitiria a eles para fazer o que quiserem.
Não há contas locais em um DC.
Esta é uma das razões pelas quais você usa os controladores de domínio para somente Active Directory e DNS e executa outros serviços em outros servidores. É muito mais fácil gerenciar a delegação e é muito mais seguro / estável.
Colocá-los no grupo de Operadores de Servidores lhe dará essa funcionalidade, mas, no meu entender, eles também terão a capacidade de "atualizar" suas contas, se desejarem, uma vez que possuem direitos de Operador de Servidor.
Você não poderá impedi-los de fazer qualquer coisa depois que eles tiverem direitos de "nível de administrador" para um controlador de domínio.
Joe Richards, do JoeWare, comentou isso no passado em seus blogs, acredito. Basicamente, não conceda a alguém acesso a um DC se você não confiar neles com tudo.
Apenas estou descartando isso como uma ideia, porque não tenho certeza se funcionará como você quer ou não, mas talvez considere adicioná-lo ao grupo Usuários avançados na máquina. Isso deve dar a ele privilégios suficientes para instalar o software na máquina. Sem ser pelo menos o grupo Admins. Do Domínio ou com permissões explicitamente concedidas às informações do Active Directory, não acho que ele seria capaz de tocar em nada disso. Talvez crie um usuário de domínio de teste, coloque-o no mesmo grupo de seu colega de trabalho e adicione-o ao grupo Power User da máquina e veja o que você pode ou não acessar.
Edit: Veja o comentário de joeqwerty ... parece que o grupo Power User não existe em DCs