Я должен предоставить группу Jr. Системные администраторы ограничили доступ к контроллеру домена с целью ограниченного администрирования пользователей и групп Active Directory (т. Е. Создание пользователей, сброс пароля и т. Д.). Я реализовал делегирование, чтобы ограничить объем задач, которые младшие системные администраторы могут выполнять в Active Directory. Справочник. Некоторые из этих пользователей используют macOS, поэтому использование инструментов удаленного администрирования сервера, подобных тем, которые можно использовать на компьютере с Windows, не подходит для них.
Таким образом, я хотел бы предоставить им доступ по протоколу RDP к контроллеру домена. Я бы хотел, чтобы они могли открывать «Пользователи и компьютеры Active Directory» (без запроса учетных данных администратора), но максимально ограничили их доступ к остальной части системы. Примечание: мне может потребоваться предоставить им доступ к нескольким другим элементам для выполнения других связанных должностных обязанностей.
Похоже, ваша основная проблема заключается в безопасном предоставлении пользователю доступа к инструменту «Пользователи и компьютеры Active Directory», который на контроллере домена (и только на контроллере домена) запрашивает Повышение уровня UAC при попытке его запустить. Я считаю, что это ошибка или непреднамеренная функция в Windows, по-видимому, вызванная членством в локальной группе домена "Pre-Windows 2000 Compatible Access Alias", что привело к разделению токена во время входа в систему.
Таким образом, одним из возможных решений было бы изменение членство в этой группе, но я не уверен, каковы могут быть побочные эффекты. Поэтому вместо этого я рекомендую отключить повышение UAC , как описано в этом ответе , то есть установив для переменной среды __ compat_layer
значение RunAsInvoker
для рассматриваемых пользователей.
Это заставляет Windows игнорировать тот факт, что mmc.exe
настроен на запрос повышения прав, если у пользователя есть разделенный токен, и просто запускает его без повышенных привилегий.
Обратите внимание, что имя переменной начинается с двух подчеркивания, а не только один.
РЕДАКТИРОВАТЬ: установка переменной среды через групповую политику не работает; Похоже, что для имен переменных среды, начинающихся с подчеркивания, существует какая-то особая обработка. Вам понадобится приложение или скрипт, чтобы установить его.
Или вы можете отключить UAC, хотя я не уверен, какие побочные эффекты это может иметь.
Я считаю, что смог достичь желаемых результатов с помощью комбинации конфигураций .
Запускать только указанные приложения Windows: dsa.msc, mmc.exe
Запретить доступ к командной строке
Запретить доступ к инструментам редактирования реестра
Удалить и запретить доступ к командам Shut Down, Restart, Sleep и Hibernate