Ich bin ein Programmierer, der versucht, ein Active Directory-Setup für ein kleines Unternehmen zu verwalten. Auf dem Domänencontroller wird Windows Small Business Server 2008 ausgeführt.
Wir haben Außendienstmitarbeiter, die Tablet-PCs verwenden. Bei Konfigurationsproblemen mit der ThinkVantage-Bloatware des Tablets müssen diese Benutzer über Administratorrechte verfügen, wenn sie die Tablets verwenden. Das ist in Ordnung - es ist nützlich, dass sie über umfassende Berechtigungen verfügen, wenn ich sie über das Telefon durch einen Fix begleite, sodass ich dort nicht nach einer Lösung suche.
Ich möchte Gruppenrichtlinien verwenden, um das folgende Szenario einzurichten: Die Benutzer in einer bestimmten Sicherheitsgruppe (oder Organisationseinheit) sollten sich in der Gruppe BUILTIN / Administratoren befinden, wenn sie an Computern in einer bestimmten Sicherheitsgruppe (oder Organisationseinheit) angemeldet sind. Es ist in Ordnung, wenn sich die Computer in einer Organisationseinheit befinden müssen, aber ich würde es vorziehen, Benutzer nach Gruppen zuzuweisen.
Natürlich sollten die Außendienstmitarbeiter keine Administratoren auf anderen Arbeitsstationen sein, und die Mitarbeiter des Vanillebüros sollten keine Administratoren auf den Tablets sein.
Derzeit wird dies lokal auf jedem Tablet verwaltet, aber wenn wir neue Mitarbeiter hinzufügen, wird es immer schwieriger.
Ich bin der Meinung, dass eingeschränkte Gruppen hier die Antwort sind, aber ohne eine solide Grundlage in AD-Konzepten und -Methoden fällt es mir schwer, dies zu erreichen.
Was ist die richtige Technik für diese Aufgabe und wie würde ich sie implementieren?
Die Antwort von Izzy ist in Ordnung, wenn Sie sich nicht darum kümmern, dass die Administratorgruppe effektiv von zukünftigen Änderungen auf dem lokalen Computer ausgeschlossen wird. Dadurch werden auch alle Gruppen gelöscht, die bereits Mitglieder der Administratorgruppe waren, bevor die Richtlinieneinstellung angewendet wurde.
Sie können dieselbe Richtlinieneinstellung jedoch auf etwas andere Weise verwenden, um diese Belästigungen zu umgehen (vorausgesetzt, Sie betrachten sie sogar als Belästigungen).
Es ist ein subtiler, aber wichtiger Unterschied in der Arbeitsweise der beiden Abschnitte. Mitglieder dieser Gruppe sind effektiv "Gruppe A enthält immer nur die Gruppen X, Y und Z". Diese Gruppe ist Mitglied von "Stellen Sie sicher, dass Gruppe A Mitglied der Gruppen X, Y und Z ist".
Sobald Sie eine Richtlinie für Mitglieder dieser Gruppe festgelegt haben , können Sie die Mitgliedschaft der Gruppe nur durch ein überschreibendes Richtlinienobjekt ändern, das auch Mitglieder dieser Gruppe oder eine andere Richtlinie verwendet, die Mitglied dieser Gruppe ist .
quelle
Alles, was Sie wirklich tun müssen, ist anscheinend eine Gruppenrichtlinie zu erstellen, die der lokalen Administratorgruppe eine Domänengruppe hinzufügt. Dies ist mit einem einfachen Startskript oder mit den Gruppenrichtlinieneinstellungen recht einfach zu erreichen .
Einfaches Startskript zum Hinzufügen von Gruppenmitgliedern.
quelle
Das einzige Problem mit der aufgeführten Lösung besteht darin, dass allen Computern, auf denen diese Richtlinie gilt, lokale Administratorrechte gewährt werden. Normalerweise möchten Sie nur einem bestimmten Computer Administratorrechte gewähren. Was ich beobachtet habe, ist, wenn ein Benutzer feststellt, dass er lokale Administratorrechte hat, installiert er Software für alle seine Freunde.
Es gibt verschiedene Möglichkeiten, dies zu tun, aber ich könnte nur eine vorschlagen. Führen Sie die oben beschriebenen Schritte aus, und erstellen Sie für jeden Computer eine Gruppe, für die Benutzer zusätzliche Rechte benötigen. Jede dieser "Computergruppen" wird der Gruppe " myDomain \ Local-Admins " hinzugefügt.
Benutzer werden dann zu der Gruppe hinzugefügt, die dem Computer entspricht, auf den sie Zugriff benötigen.
Sie sind also ein Administrator, aber nur von dieser Maschine.
quelle
Sie sagen, das Hinzufügen neuer Mitarbeiter ist ein Problem, aber sollte es nicht das Hinzufügen neuer Tablets sein, das ein Problem wäre?
Ich würde etwas in diese Richtung tun:
Verfügen Sie über eine Domänensicherheitsgruppe, die alle Benutzer enthält, die Administratoren auf den Tablet-PCs sein sollten (dh TabletAdministrators).
Fügen Sie diese Gruppe auf jedem Tablet der Gruppe Administratoren hinzu.
Ob dies die richtige Technik ist oder nicht, weiß ich nicht. Es ist nur die erste Idee, die mir bei der Implementierung einfällt.
quelle
Ich habe ein Skript geschrieben, das als Computerrichtlinie mit Administratorrechten auf der lokalen Arbeitsstation ausgeführt wird. Es überprüft die Beschreibung des zuletzt angemeldeten Benutzers in AD, die ein Domänenadministrator über "Active Directory-Benutzer und -Computer" festlegen kann. Wenn sie den Namen der Arbeitsstation enthält, fügt das Skript den Benutzer der lokalen Administratorgruppe hinzu, wenn der Name der Arbeitsstation nicht in der Gruppe enthalten ist Mit der Beschreibung des Benutzers wird der Benutzer aus der lokalen Administratorgruppe entfernt. Eine Beschreibung kann mehr als einen Computernamen enthalten:
Beschreibung des Benutzers: "Lokaler Administrator auf WKST-E445R und WKST-VM398"
Um jemanden zu einem lokalen Administrator auf nur einem Computer zu machen, muss ich nur den Namen dieses Computers zur Beschreibung des Benutzers in AD hinzufügen und den Benutzer zum Neustart auffordern. Durch Entfernen des Computernamens werden die lokalen Administratorrechte entfernt.
Ist das nicht die sauberste Lösung überhaupt? :-)
Hier ist das Skript:
quelle