Я хочу создать учетную запись, похожую на администратора домена, но без доступа к контроллерам домена. Другими словами, эта учетная запись будет иметь полные права администратора на любой клиентской машине в домене, сможет добавлять машины в домен, но будет иметь только ограниченные права пользователя на серверах.
Эта учетная запись будет использоваться лицом, выполняющим роль службы технической поддержки конечного пользователя. У них должен быть полный доступ к клиентским машинам для установки драйверов, приложений и т.д., но я не хочу, чтобы они были на серверах.
Хотя я, вероятно, мог бы составить что-то вместе с помощью политики, вероятно, это будет беспорядочно, поэтому я решил, что должен спросить: правильный способ сделать это?
Нечто подобное мы делаем в наших удаленных офисах. Сначала создайте группу для псевдоадминистраторов в домене. В AD делегируйте управление подразделениям, которыми они могут управлять (создавать / удалять учетные записи, или, может быть, просто сбрасывать пароли, или вообще ничего).
Затем используйте групповую политику, чтобы добавить свою группу в группу локальных администраторов на рабочих станциях и серверах, используя Компьютер \ Параметры Windows \ Параметры безопасности \ Группы с ограниченным доступом. Не развертывайте эту политику в подразделении контроллеров домена или подразделениях, содержащих ваши серверы.
Это, очевидно, зависит от того, настроена ли AD таким образом, чтобы клиентские системы были отделены от серверов.
По мере продвижения к средам Active Directory, где UAC является стандартной функцией, вам также придется это учитывать.
По умолчанию только учетная запись локального администратора и члены администраторов домена получают автоматическое повышение прав, и это необходимо для многих вещей (подключение к удаленным административным ресурсам - одно, очевидно, это проблема с настройкой MSMQ и NLB, я уверен, что есть и другие) простого помещения новой группы в учетную запись локальных администраторов может быть недостаточно.
Чтобы обойти это, вам нужно изменить «Контроль учетных записей пользователей: поведение при запросе на повышение прав для администраторов в режиме утверждения администратором» Политика безопасности в разделе «Локальные политики», «Параметры локальной безопасности» и установите значение "Нет подсказки". Надеюсь, Microsoft предложит более целенаправленный способ сделать это в будущем (или исправит крайние случаи, когда требуемый запрос на одобрение уходит в самоволку).
Попробуй это. Это самый простой способ, который я нашел до сих пор: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx По сути, щелкните правой кнопкой мыши папку «КОМПЬЮТЕРЫ» в AD и выберите «Делегировать управление». Следуйте за мастером. Работает во всех версиях серверов.
Настройте группу разрешений, сделайте компьютеры, на которых вы хотите, чтобы он мог управлять членами этой группы, и предоставьте ему полный контроль над тем, что находится в этой группе.
Довольно просто. Active Directory на самом деле создан для такого рода проблем. Просто создайте новую групповую папку и измените настройки безопасности в свойствах.