Я пытаюсь заблокировать наш домен AD и удалить ненужных пользователей из группы администраторов домена. Я специалист по Linux, поэтому кое-что из этого ново или отличается.
Мы специализируемся на Mac, поэтому единственный способ управлять нашей AD - это непосредственно сам AD. Мы настроены так, чтобы разрешить RDP в систему, и я заблокировал его для ограниченного набора групп, которые должны иметь доступ, но дилемма возникает, когда пользователь пытается открыть приложение AD Users and Computers (MMC snap- в). Им сразу же предоставляется диалоговое окно с запросом учетных данных администратора, чтобы приложение могло изменять систему.
Мы на Windows 2012 R2 Server с 2 RW DC и RO DC.
Любая помощь была бы замечательной! Спасибо!
Скорее всего, вы получили приглашение, потому что вы удалили их из группы администраторов домена и для запуска приложения локально на контроллере домена требуются эти разрешения.
Вам действительно нужны инструменты RSAT, но, поскольку все компьютеры Mac, это будет сложно без виртуальной машины Windows. Вы можете попробовать отключить UAC на контроллере домена, если не возражаете против угроз безопасности.
Пользователи домена имеют доступ для чтения всех объектов AD по умолчанию, поэтому они могут открывать и просматривать все объекты через консоль ADUC, но не могут вносить никаких изменений, пока им не будет делегировано управление на уровне леса, домена или подразделения.