Я работаю над безопасностью домена Windows 2003 с 50 клиентами. Первой задачей, над которой я работаю, является удаление сотрудников службы технической поддержки из группы администраторов домена. Но мне нужно, чтобы они все еще могли:
Я думал добавить локальную группу домена под названием «Поддержка» в группу «Локальный администратор» на каждой рабочей станции, что вы думаете об этом подходе?
Спасибо!
Если им понадобится устранять неполадки на рабочих станциях, им действительно потребуются права локального администратора.
Ваш подход правильный: используйте группу домена (но она должна быть глобальной, если вы хотите вложить ее внутрь чего-либо еще) и поместите в нее учетные записи пользователей; Лучше не назначать разрешения конкретным учетным записям пользователей, группы существуют именно для этого.
О добавлении группы в локальную группу администраторов на каждой рабочей станции: пожалуйста, не делайте этого вручную :-)
Используйте простой сценарий запуска машины с командой net localgroup Administrators /add DOMAIN\YourGroup, или параметр групповой политики «Группы с ограниченным доступом».
Создайте локальную группу домена «Администратор рабочей станции». Поместите все рабочие станции в общую иерархию OU или в одну OU. Свяжите объект групповой политики с настройкой ограниченных групп для группы администраторов, чтобы включить только администратора рабочей станции. Теперь, затем любые логические группы персонала в ту группу, которая должна иметь этот доступ. Скорее всего, вы захотите, чтобы в эту группу были включены «Поддержка» и «Администраторы домена».