У нас запущена Active Directory, состоящая из нескольких разных компьютеров с Windows (Vista, Windows 7, Windows 10, 2008 R2, 2012 R2, ...). Мне нужно придумать концепцию, позволяющую детально управлять локальными разрешениями. В настоящее время слишком много людей получили полные права на машины.
Планирую сделать следующее:
Затем я бы сделал то же самое для ServerB и так далее. Позже я объединю эти группы AD в более крупные, например:
Это позволило бы мне контролировать со стороны AD, у какого пользователя есть права локального администратора. Я мог дать пользователям бога-права сразу на всех машинах, а другим только на одной и нескольких машинах (или только на одной).
Обратной стороной является то, что я взорву базу данных AD, так как потребуется много новых групп.
К сожалению, мне не удалось найти ни одного документа от Microsoft, описывающего передовой опыт работы с локальными встроенными группами в среде AD.
Как лучше всего достичь моей цели?
Будьте осторожны с количеством групп, в которых состоит пользователь! Это число влияет на размер билета Kerberosт. По достижении определенного лимита - пользователь не может авторизоваться. Это очень важно в больших доменах.
Я рекомендую создавать группу не «на сервер», а «на роль» пользователя (бухгалтер, оператор, менеджер, администратор). И эти группы при необходимости включают локальную группу серверов. Затем он минимизирует количество групп домена, к которым принадлежит пользователь.
Само количество групп не является проблемой, это, наконец, скрипт - количество членов группы! (Например, из-за максимального размера токена Kerberos).
Я предпочитаю следующее (пример для локальных администраторов)
Сайт А
Хост A1: HostA1-Admin, SiteA Admin.
Хост A2: HostA2-Admin, SiteA Admin
Сайт B
Хост B1: HostB1-Admin, SiteB Admin.
Хост B2: HostB2-Admin, SiteB Admin.
Таким образом, вы можете назначить своим коллегам администрирование либо одного хоста, либо сайта. Всегда старайтесь сократить членство в группе. Каскадирование групп не уменьшает этого (см. Whoami / groups). Если у вас есть лес, это немного отличается, но проблема остается той же.
В зависимости от размера вашего домена используйте скрипты или gpos, чтобы добавить эти группы вашим локальным администраторам.
Кроме того, см. Концепции групп в активном каталоге (локальный домен / глобальный / универсальный), что важно для леса, но также и для локальных доменов, поскольку оно влияет на глобальный каталог (это поисковый индекс для вашего объявления и используется многими службами MS). . Microsoft использует для локальных и глобальных групп терминологический ресурс и группы пользователей (?), Что уже указывает на предполагаемое использование.