Я программист, который пытается управлять настройкой Active Directory для небольшой компании. Контроллер домена работает под управлением Windows Small Business Server 2008.
У нас есть штат полевых работников, использующих планшетные ПК; Проблемы конфигурации с раздутым ПО ThinkVantage на планшете потребуют от этих пользователей прав администратора при использовании планшетов. Это нормально - им полезно иметь широкие привилегии, когда я рассказываю им об исправлении по телефону, поэтому я не ищу здесь обходного пути.
Я хотел бы использовать групповую политику для настройки следующего сценария: пользователи в определенной группе безопасности (или организационном подразделении) должны находиться в группе BUILTIN / Administrators при входе на компьютеры в определенной группе безопасности (или организационном подразделении). Это нормально, если компьютеры должны быть в OU, но я бы предпочел назначать пользователей по группам.
Конечно, полевые работники не должны быть администраторами на других рабочих станциях, а штатные сотрудники офиса не должны быть администраторами на планшетах.
В настоящее время это осуществляется локально на каждом планшете, но по мере того, как мы добавляем новых сотрудников, это становится все труднее.
Я чувствую, что ограниченные группы - это ответ здесь, но без прочного знания концепций и методов AD мне трудно добиться этого.
Какая техника лучше всего подходит для этой задачи и как мне ее реализовать?
Создайте группу для инкапсуляции пользователей (Local-Admins-Tablets) и добавьте их в эту группу.
Создайте под-OU текущего OU рабочих станций и поместите планшеты сюда (Workstations \ Tablets)
Создайте GPO (Local-Admins-Tablets-Policy) и свяжите его с Workstations \ Tablets OU.
В GPO установите следующее:
Перезагрузите ПК и готово.
Имейте в виду, что установка ограниченных групп перезапишет существующий список локальных администраторов на компьютере. Если у вас уже есть другие пользователи / группы, вам также нужно будет добавить их в эту политику. Другими примерами могут быть мойДомен \ Администраторы домена и т.д
РЕДАКТИРОВАТЬ: О, и измените фильтрацию в GPO и добавьте Компьютеры домена. Самый простой способ сделать это - использовать оснастку MMC управления групповой политикой (ее можно получить из Инструменты удаленного администрирования сервера от Microsoft)
Ответ Иззи в порядке, если вам все равно, что группа администраторов будет эффективно заблокирована от будущих изменений с локального компьютера. Это также приведет к удалению всех групп, которые уже были членами группы «Администраторы» до применения параметра политики.
Однако вы можете использовать тот же параметр политики немного по-другому, чтобы обойти эти неприятности (при условии, что вы даже считаете их раздражающими).
Это тонкое, но важное различие в том, как работают эти два раздела. Члены этой группы эффективно работает так: «Группа A всегда будет содержать только группы X, Y и Z». Эта группа является членом эффективно работает так: «Убедитесь, что группа A является членом групп X, Y и Z».
После того, как вы установили политику с Члены этой группы, единственное, что может изменить членство в группе, - это переопределяющий объект политики, который также использует Члены этой группы или любой другой политики, использующей Эта группа является членом.
Похоже, что все, что вам действительно нужно сделать, это создать групповую политику, которая добавляет группу домена в группу локальных администраторов. Это довольно легко сделать с помощью простого сценария запуска или с помощью Настройки групповой политики.
Простой сценарий запуска для добавления членов группы.
DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")
Единственная проблема с указанным решением заключается в том, что оно предоставляет права локального администратора всем машинам, на которых применяется эта политика. Обычно вы хотите предоставить права администратора только для определенной машины. Я заметил, что когда пользователь осознает, что у него есть права локального администратора, он начинает устанавливать программное обеспечение для всех своих товарищей.
Есть несколько способов сделать это, но я могу предложить только один. Поэтому выполните шаги, указанные выше, но также создайте группу для каждого компьютера, где пользователям требуются дополнительные права. Каждый из них «Компьютерные группы» добавлен в группу myDomain \ Local-Admins.
Затем пользователи добавляются в группу, соответствующую машине, к которой им нужен доступ.
Итак, они администраторы, но только на этой машине.
Вы говорите, что добавление новых сотрудников - это проблема, но разве добавление новых планшетов не должно быть проблемой?
Я бы сделал что-то в этом роде:
Создайте группу безопасности домена, в которую войдут все пользователи, которые должны быть администраторами на планшетных ПК (например, администраторы планшетов).
На каждом планшете добавьте эту группу в группу администраторов.
Я не знаю, правильная это техника или нет. Это просто первая идея, которая приходит мне в голову, как ее реализовать.
Я написал сценарий, который работает как компьютерная политика с правами администратора на локальной рабочей станции. Он проверяет последнее вошедшее в систему описание пользователя в AD, которое администратор домена может установить из «Active Directory Users and Computers», если оно содержит имя рабочей станции, сценарий добавляет пользователя в локальную группу администраторов, если имя рабочей станции не находится в Описание пользователя, он удаляет пользователя из локальной группы администраторов. Описание может включать более одного имени компьютера, например:
Описание пользователя: "Локальный администратор на WKST-E445R и WKST-VM398"
Итак, чтобы сделать кого-то локальным администратором только на одной машине, мне просто нужно добавить имя этого компьютера в описание пользователя в AD и попросить пользователя перезагрузиться., а удаление имени компьютера удаляет права локального администратора.
Разве это не лучшее решение? :-)
Вот сценарий:
@if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername
set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt
:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)
:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%
:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%
:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)
echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%
:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates.
goto end
:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end
:041D
:: Swedish
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end
:end