Как создать ограниченного “администратора домена”, который не имеет доступа к контроллерам домена?

Когда мы продвигаемся в среды Active Directory, где контроль учётных записей является стандартной функцией, необходимо будет также принять это во внимание также.

По умолчанию только учетная запись локального администратора и члены Администраторов домена получают автоматическое повышение, и это необходимо для многих вещей (соединяющийся с удаленными администраторскими долями, один, по-видимому, это - проблема с конфигурированием MSMQ и NLB также, я уверен, что существуют другие), просто размещение новой группы в учетную запись локальных администраторов не может быть достаточным.

Для обхождения этого необходимо изменить "Управление учетными записями пользователей: Поведение повышения запрашивает администраторов в Администраторском Режиме Одобрения" Политика безопасности под Локальными политиками, Локальными параметрами безопасности и установленный значение к "Никакая Подсказка" . Надо надеяться, Microsoft придумает более предназначенный способ сделать это в будущем (или зафиксирует пограничные случаи, где необходимая подсказка одобрения уходит в самовольную отлучку).

Попробуйте это. Это - самый легкий способ, которым я нашел до сих пор: http://technet.microsoft.com/en-us/library/cc756087 (v=WS.10) .aspx По существу, щелкните правой кнопкой по папке 'COMPUTERS' в AD и избранном 'Управлении Делегата'. Следуйте за мастером. Работы во всех серверных версиях.

Создайте группу полномочий, сделайте компьютеры, Вы хотите, чтобы он смог администраторским членам той группы и дал ему полный контроль над вещами, которые находятся в той группе.

Довольно простой. Active Directory на самом деле сделан для такой проблемы. Просто создайте новую папку группы и измените настройки безопасности под свойствами.