Назад | Перейти на главную страницу

GPO развертывает локальных администраторов

Очень нужна помощь с этим.

Мне нужно разрешить кому-то другому быть администратором клиентских компьютеров и серверов, но не контроллера домена.

Я смог это сделать, но что бы я ни делал, этот пользователь всегда входит в группу администраторов и может войти в DC, создать OU и т. Д.

Шаги

  1. создать пользователя домена (TestAdmin)
  2. создать группу (LocalAdmins)
  3. добавить пользователя в группу (затем сделать группу первичной и удалить пользователя из группы «Пользователи домена»)
  4. создать GPO (gpoLocalAdmin)
  5. изменить политику (Настройки Windows-> Настройки безопасности-> Ограниченные группы) новая группа -> выбрать -> LocalAdmins
  6. Эта группа является членом (выберите -> администраторы)
  7. gpupdate

Эта политика не распространяется на контроллеры домена (разные подразделения), но TestAdmin может входить в систему и администрировать домен.

Как это исправить.

Спасибо

Во-первых, если у вас нет действительно веской причины, не удаляйте этого пользователя из Domain Users. Кроме того, почти никогда не бывает причин для смены основной группы. IIRC этот параметр исключительно применяется к приложениям POSIX и не имеет никакого отношения к безопасности.

Помимо этого, у вас есть правильная идея. Добавьте пользователя домена в группу домена, затем используйте групповую политику, чтобы добавить группу домена в локальные группы администраторов. Вы ошиблись на шаге 5, где у вас отменено членство в группе.

Фактически, то, что вы только что попросили GP сделать, это «взять группу домена и добавить ее в группу локальных администраторов. Это звучит правильно, но посмотрите немного внимательнее и поймите, какой элемент вы просите изменить групповую политику - в данном случае , вы просите это изменить группу домена, добавив ее в локальную группу, что никогда не будет работать. Поскольку групповая политика всегда обрабатывается в клиентских системах, вы не можете изменять учетные записи домена, вы можете изменять только локальные учетные записи.

Чтобы это работало правильно, вам нужно попросить групповую политику изменить локальную группу, добавив к ней группу домена. Для этого откройте группы с ограниченным доступом и начните с выбора группы администраторов в локальной системе (не беспокойтесь, она будет работать для соответствующей группы на любая система):

Затем измените его, добавив группу домена в качестве члена: