Windows Server 2016 Active Directory: Предоставление пользователю прав администратора только для определенных машин
Я предоставил локального администратора нескольким машинам для пользователя active directory, который запрашивал / нуждался в этом доступе. Я не хотел предоставлять права администратора всему домену и серверу, а только определенным терминалам.
Я нашел в интернете статью о предоставлении прав локального администратора для определенных машин с помощью управления групповой политикой и редактора управления групповой политикой. (Найдено ниже)
Я создал OU (т.е. содержит все компьютеры в домене) и создал другую OU (т.е. содержит определенные компьютеры), внутри которой содержатся компьютеры, которым я хотел предоставить доступ администратора для этого пользователя.
Я применил пользовательский GPO Local Admin и связал его с OU Specific Computers внутри OU All Computers. Это, кажется, сработало для предоставления прав локального администратора на эти определенные компьютеры для этого пользователя...
Мой вопрос в том, что если я захочу в другой раз предоставить кому-то другому администраторский доступ только к 2-3 компьютерам внутри OU Specific computers?
Есть ли более простой способ сделать это? Я поиграл с группой безопасности (добавил определенные компьютеры) и попытался использовать этот метод для предоставления администраторского доступа, но не смог этого понять.
Пожалуйста, дайте мне знать, что вы думаете.
Спасибо!
Я не знаю, проще ли это, судите сами. Запустите сценарий PowerShell, перечисляющий все компьютеры в AD, и создайте группу для каждого из них. Если вы хотите сойти с ума, вы можете создать группы для любой роли. Пример:
YourOrg.Computers.computername.Administrators
YourOrg.Computers.computername.Remote Desktop Users
YourOrg.Computers.computername.Users
и т.д.
Затем вы запускаете скрипт, подключающий каждый компьютер к рекламной группе, основываясь на имени хоста и имени локальной группы, вы можете "угадать" нужное вам имя рекламной группы. Вуаля, вы перенесли администрирование в AD. Обладая небольшими навыками, вы сделаете сценарий "регистрации всех компьютеров" за два-три часа.
Используя его элементы, вы можете сделать скрипт "enrol single computer", создав группы, подключившись к удаленному компьютеру и прикрепив их.
Вы также можете рассмотреть возможность удаления администраторов домена и пользователей домена с компьютеров, для повышения безопасности и конфиденциальности на каждом клиентском компьютере.
Аудит доступа теперь очень прост.
Предоставление доступа централизовано.
Вы можете установить разрешения для объектов групповой политики.
Стандартные разрешения предоставляют право «применять групповую политику» к любому аутентифицированному пользователю (включая учетные записи компьютеров); поэтому он применяется к любому пользователю или компьютеру, входящему в его область действия (OU, с которым связан GPO).
Вы можете изменить это разрешение, чтобы разрешить применение объекта групповой политики только к определенной группе; это позволяет вам управлять тем, на кого / что влияет этот объект групповой политики, независимо от подразделения, в котором он находится.