Разматрања о употреби групе локалних администратора у домену активног директорија

Користећи смернице групе домена, можете додати потребне АД кориснике (или групе) у локалну групу администратора на серверима или радним станицама. На овај начин можете доделити локална администраторска права на рачунарима домена запосленима техничке подршке, ХелпДеск сервису, одређеним корисницима и другим привилегованим налозима. У овом чланку ћемо показати колико начина за управљање члановима локалне администраторске групе на рачунарима домена путем ГПО-а.

Садржај:

  • Додавање корисника у групу локалних администратора преко подешавања смерница групе
  • Управљање локалним администраторима путем ограничених група
  • Давање права администратора на одређеном рачунару

Разматрања о употреби групе локалних администратора у домену активног директорија

Када додате рачунар у АД домен у групи Администратори групе се аутоматски додају Администратори домена, и група Корисник домена додато локалном Корисници.

Најлакши начин додељивања права локалног администратора за одређени рачунар је додавање корисника или групе у безбедносну групу локалних администратора путем локалног додатка „Локални корисници и групе“ - лусрмгр.мсц) Међутим, ова метода је веома незгодна ако постоји пуно рачунара и с временом ће у групама локалних администратора сигурно бити додатних личности. И.е. код овог начина давања права, непријатно је контролисати састав групе локалних администратора.

Мицрософт Цлассиц Бест Працтицес препоручује коришћење следећих група за одвајање администратора у домену:

  • Администратори домена - администратори домена користе се само на контролерима домена; Са становишта сигурности привилегованих административних налога, не препоручује се свакодневно обављање задатака администрације радних станица и сервера под налогом са правима администратора домена. Такве налоге треба користити само за задатке администрације АД (додавање нових контролера домена, управљање репликацијом, модификација шеме итд.). Већина задатака управљања доменом, рачунаром и корисником може се делегирати на редовне административне налоге. Не користите налоге из групе домена за администрацију за пријављивање на било које радне станице и сервере хромираних контролера домена.
  • Администратори сервера - група за даљинско пријављивање на сервере чланова домена. Не би требало да буде члан групе Администратор домена и не би требало да буде укључен у групу локалних администратора на радним станицама;
  • Администратори радне станице - Група само за администрацију рачунара. Не смеју бити укључени или садржавати групе домена администратора и групе администратора;
  • Корисници домена - редовни кориснички рачуни за типичне канцеларијске операције. Не мора имати администраторска права на серверима или радним станицама.
Такође, можете потпуно да одбијете давање административних права за кориснике домена и групе. У овом случају, да бисте извршили административне задатке на рачунарима, користите уграђени локални администратор са лозинком похрањеном у АД (имплементирану помоћу ЛАПС-а).

Претпоставимо да морамо да пружимо групи техничке подршке и запосленима у ХелпДеску локална администраторска права на рачунарима у одређеном ОУ. Креирајте нову безбедносну групу у домену помоћу ПоверСхелл-а и додајте на њега налоге за техничку подршку:

Нев-АДГроуп "мскВКСАдминс" -патх "ОУ = Групе, ОУ = Москва, ДЦ = винитпро, ДЦ = ру" -ГроупСцопе Глобал -ПассТхру

Адд-АдГроупМембер - Идентитет мскВКСАдминс -Мемберс усер1, усер2, усер3

Отворите конзолу за уређивање правила групе домена (ГПМЦ.мсц), креирајте нову политику АддЛоцаАдминс и доделите је ОУ-у помоћу рачунара (у мом примеру то је „ОУ = Компјутери, ОУ = Москва, дц = винитпро, ДЦ = ру“).

Политике АД група имају две методе за управљање локалним групама на рачунарима домена. Размотримо их редом:

  • Групе с ограничењем
  • Управљање локалним групама путем поставки групе

Додавање корисника у групу локалних администратора преко подешавања смерница групе

Подешавања групних полиса (ГПП-ови) пружају најфлексибилнији и најприкладнији начин за доделу локалних административних права на рачунарима домена путем ГПО.

  1. Отворите правила АддЛоцаАдминс креирана раније у режиму уређивања;
  2. Идите на одељак ГПО: Конфигурација рачунара -> Поставке -> Поставке управљачке плоче -> Локални корисници и групе;
  3. Десним кликом кликните на десни прозор и додајте ново правило (Ново -> Локална група);
  4. У пољу Акција изаберите Ажурирај (ово је важна опција!);
  5. На падајућој листи Назив групе изаберите Администратори (уграђени). Чак и ако је ова група преименована на рачунару, подешавања ће се применити на локалну групу администратора од стране њеног СИД - С-1-5-32-544;
  6. Притисните дугме Додај и одредите групе које желите да додате у локалну групу администратора (у нашем случају то је мскВКСАдминс) Ако желите да уклоните ручно додате кориснике и групе из тренутне локалне групе на рачунару, потврдите „Избришите све чланове корисника"И"Избришите све групе чланова" У већини случајева, то је препоручљиво, јер Гарантујете да ће на свим рачунарима само додељена група домена имати администраторска права. Сада, ако ручно додате корисника у групу администратора на рачунару, следећи пут када примените смерницу, она ће се аутоматски избрисати.
  7. Сачувајте полису и сачекајте да се примени на клијенте. Да бисте одмах примијенили политику, покрените наредбу гпупдате / форце.
  8. Отворите прикључак лусрмгр.мсц на било ком рачунару и проверите чланове локалне Админстраторс групе. У групу треба додати само мскВКСАдминс, сви остали корисници и групе биће избрисани. Листа локалних администратора може се приказати помоћу команде нето администратори локалне групе или нето администратори локалне групе - у руској верзији Виндовса. Ако се правило не примењује на клијенту, користите команду гпресулт за дијагностику. Такође проверите да ли је рачунар у ОУ на који је усмерена смерница, а такође проверите препоруке у чланку „Зашто се политике не примењују у АД домену?“.

Можете да конфигуришете додатне (детаљне) услове за циљање ове политике на одређене рачунаре помоћу ВМИ ГПО филтера или Циљање на нивоу предмета. У другом случају, идите на картицу Цоммон и провјерите могућност циљања на нивоу предмета. Кликните на дугме Циљање. Овде можете да одредите услове када ће се ова смерница примењивати. На пример, желим да се правило додавања административних група примењује само на рачунаре са Виндовс 10 чија НетБИОС / ДНС имена не садрже адм. Можете користити своје услове филтра..

Не препоручује се додавање појединачних корисничких налога у ове смернице, боље је користити безбедносне групе домена. У овом случају, да административним правима доделе права следећег запосленог. подршка, само је морате додати у групу домена (не морате да уређујете ГПО),

Управљање локалним администраторима путем ограничених група

Политика ограничених група такође вам омогућава да додате групе / кориснике домена локалним безбедносним групама на рачунарима. Ово је старији начин давања права локалног администратора и сада се мање користи (метода је мање флексибилна од методе са подешавањима групне политике).

  1. Пребаците се на режим уређивања правила;
  2. Проширите одјељак Конфигурација рачунара -> Политике -> Сигурносне поставке -> Ограничене групе (Конфигурација рачунара -> Политике -> Сигурносне поставке -> Ограничене групе);
  3. У контекстном менију изаберите Додајте групу;
  4. У прозору који се отвори наведите Администратори -> Ок;
  5. У одељку „Чланови ове групе“Кликните Додај и одредите групу коју желите додати локалним администраторима;
  6. Сачувајте измене, примените смернице на рачунаре корисника и проверите локалне групе Администратори. У њему треба да остане само група која је наведена у политици..
Ова политика увек (!) Брише све постојеће чланове у групи локалних администратора (додају их ручно, друге политике или скрипте). Ако на рачунару постоји неколико смерница са подешавањем група ограничених група, примењује се само последње. Ово ограничење можете заобићи тако што прво додате мскВКСАдминс групу у групе са ограничењима, а затим ову групу укључите у Администратор.

Давање права администратора на одређеном рачунару

Понекад морате на одређеном рачунару дати одређена корисничка права администратора. На пример, имате неколико програмера којима су периодично потребне веће привилегије за тестирање управљачких програма, уклањање погрешака и инсталирање на њихове рачунаре. Непрактично их је додавати групи администратора радних станица на свим рачунарима.

Да доделим лок права. Администратор на једном одређеном рачунару, можете користити такву шему.

Право у правилима АддЛоцалАдминс креираним раније у одељку поставки (Конфигурација рачунара -> Поставке -> Подешавања управљачке плоче -> Локални корисници и групе) креирајте нови унос за групу Администратори са следећим подешавањима:

  • Акција: Ажурирање
  • Назив групе: Администратори (уграђени)
  • Опис: „Додавање апиванова локалу. администратори на мск-вс24 ”
  • Чланови: Додај -> апиванов
  • Картица Уобичајено -> Циљање одредите правило: „Име рачунара НЕТБИОС је мск-вс24" И.е. ова смерница ће се примењивати само на рачунару наведеном овде.

Такође обратите пажњу на примену група на рачунару - Наручите. Поставке локалне групе примјењују се одозго према доље (почевши од правила из Наруџбе 1).

Прва ГПП политика (са подешавањима „Обриши све чланске кориснике“ и „Избриши све групе чланова“ како је горе описано) уклања све кориснике / групе из локалне администраторске групе и додаје наведену групу домена. Тада ће се применити додатна смерница за одређени рачунар и додати ће наведеног корисника администраторима. Ако желите да промените апликацију за чланство у групи Администратори, користите тастере на врху конзоле ГПО уређивача.