Làm cách nào để tạo một quản trị viên tên miền có giới hạn, không có quyền truy cập vào bộ điều khiển miền?

Tôi đang tìm cách tạo một tài khoản tương tự như Quản trị viên tên miền, nhưng không có quyền truy cập vào bộ kiểm soát miền. Nói cách khác, tài khoản này sẽ có quyền Quản trị viên đầy đủ cho bất kỳ máy khách nào trong miền, có thể thêm máy vào miền, nhưng chỉ giới hạn quyền người dùng đối với máy chủ.

Tài khoản này sẽ được sử dụng bởi một người trong loại vai trò hỗ trợ kỹ thuật của người dùng cuối. Họ nên có quyền truy cập đầy đủ vào các máy khách để cài đặt trình điều khiển, ứng dụng, v.v ... nhưng tôi không muốn chúng trên các máy chủ.

Mặc dù tôi có thể tự mình kết hợp một cái gì đó thông qua chính sách, nhưng nó có thể sẽ lộn xộn vì vậy tôi nghĩ rằng tôi nên hỏi: cách thích hợp để làm điều này là gì?

Chúng tôi làm một cái gì đó tương tự như thế này trong các văn phòng từ xa của chúng tôi. Đầu tiên, tạo một nhóm cho các quản trị viên psuedo trong miền. Trong AD, ủy quyền kiểm soát cho OU mà họ có thể cần quản lý (tạo / xóa tài khoản hoặc có thể chỉ cần đặt lại mật khẩu hoặc không có gì cả).

Sau đó, sử dụng Chính sách nhóm để thêm nhóm của bạn vào nhóm quản trị viên cục bộ trên máy trạm và máy chủ bằng Computer \ Windows Settings \ Security Settings \ Restricted Groups . Không triển khai chính sách này cho Bộ kiểm soát miền OU hoặc OU chứa máy chủ của bạn.

Điều này rõ ràng phụ thuộc vào việc có một AD được cấu hình theo cách tách biệt các hệ thống máy khách khỏi các máy chủ.

Khi chúng ta tiến tới môi trường Active Directory, trong đó UAC là một tính năng tiêu chuẩn, bạn cũng sẽ phải tính đến điều đó.

Theo mặc định, chỉ có tài khoản Quản trị viên cục bộ và các thành viên của Quản trị viên tên miền có độ cao tự động và điều này là cần thiết cho nhiều thứ (kết nối với chia sẻ của quản trị viên từ xa là một vấn đề, rõ ràng đó cũng là một vấn đề với việc định cấu hình MSMQ và NLB, tôi chắc chắn còn có những thứ khác) chỉ cần đặt một nhóm mới vào tài khoản Quản trị viên cục bộ có thể không đủ.

Để giải quyết vấn đề này, bạn phải sửa đổi "Điều khiển tài khoản người dùng: Hành vi của lời nhắc nâng cao cho quản trị viên trong Chế độ phê duyệt của quản trị viên" Chính sách bảo mật trong Chính sách cục bộ, Cài đặt bảo mật cục bộ và đặt giá trị thành "Không nhắc nhở" . Hy vọng rằng Microsoft sẽ đưa ra một cách thức được thực hiện nhiều hơn trong tương lai (hoặc khắc phục các trường hợp cạnh trong đó nhắc nhở phê duyệt được yêu cầu là AWOL).

Thử đi. Đó là cách dễ nhất mà tôi đã tìm thấy cho đến nay: http://technet.microsoft.com/en-us/l Library / cc756087 (v ​​= WS.10) .aspx Về cơ bản, nhấp chuột phải vào thư mục 'MÁY TÍNH' trong AD và chọn Control Kiểm soát đại biểu '. Thực hiện theo các hướng dẫn. Hoạt động trong tất cả các phiên bản máy chủ.

Thiết lập một nhóm quyền, làm cho các máy tính mà bạn muốn anh ta có thể quản trị thành viên của nhóm đó và cho anh ta toàn quyền kiểm soát những thứ trong nhóm đó.

Khá đơn giản. Active Directory thực sự được tạo ra cho loại vấn đề đó. Chỉ cần tạo một thư mục nhóm mới và thay đổi cài đặt bảo mật trong thuộc tính.