У меня есть несколько машин для разработки, где я являюсь администратором. Мы используем AD в моей организации, но его обслуживает оффшорная ИТ-группа, любой запрос занимает много времени.
В настоящее время мы предоставляем доступ разработчикам на машинах для разработки вручную, поэтому поддерживать это немного утомительно, хотя, по крайней мере, это быстро. У нас также есть много внешних консультантов, которым необходимо какое-то время использовать эти машины.
Есть ли какой-либо инструмент или метод для поддержки набора пользователей, синхронизированных на этих машинах, без необходимости добавлять их в группу AD?
Да, ручная работа или создание сценариев для того, что вы описываете. Проблема будет в том, что основная группа будет использовать что-то вроде ограниченных групп в AD (что, вероятно, и должно быть), что приведет к стиранию ваших ручных изменений при каждом обновлении GPO.
Что ты должен Сделайте так, чтобы объект групповой политики добавлял определенную группу безопасности локальным администраторам на определенной группе компьютеров с Windows, а затем позволял вам быть менеджером группы, чтобы вы могли добавлять / удалять участников по мере необходимости. Инструменты все есть; используйте их правильно.
Если у вас уже есть пользователь с правами локального администратора, вы можете создать сценарий для создания локальных пользователей на каждом компьютере и поместить его в запланированные задачи, которые будут запускаться каждый день. Используйте в сценарии команду «net user».
Примечание. Если бы конечный пользователь сделал это в управляемой мной сети, я бы сделал все возможное, чтобы его уволили. Но мои сотрудники ответят на ваши запросы.
В Лучший Решение - запросить у центрального ИТ-отдела следующее:
Если их AD организован должным образом, это займет у хорошего администратора примерно 10 минут. Но центральная ИТ-служба, особенно оффшорная центральная ИТ-служба, которая оплачивается почасово или по запросу, не желает делегировать задачи, за выполнение которых им можно заплатить.
Удачи.