Wie erstelle ich einen eingeschränkten Domänenadministrator, der keinen Zugriff auf Domänencontroller hat?

14

Ich möchte ein Konto erstellen, das einem Domänenadministrator ähnelt, aber keinen Zugriff auf Domänencontroller hat. Mit anderen Worten, dieses Konto verfügt über vollständige Administratorrechte für jeden Clientcomputer in der Domäne, kann der Domäne Computer hinzufügen, hat jedoch nur eingeschränkte Benutzerrechte für die Server.

Dieses Konto wird von einer Person in einer technischen Support-Rolle des Endbenutzers verwendet. Sie sollten vollen Zugriff auf Client-Computer haben, um Treiber, Anwendungen usw. zu installieren, aber ich möchte nicht, dass sie auf den Servern installiert werden.

Obwohl ich wahrscheinlich selbst etwas über Richtlinien zusammenbringen könnte, wird es wahrscheinlich chaotisch sein, also dachte ich mir, ich sollte fragen: Was ist der richtige Weg, dies zu tun ?

Boden
quelle

Antworten:

15

Ähnliches machen wir in unseren Außenstellen. Erstellen Sie zunächst eine Gruppe für die Pseudoadmins in der Domäne. Delegieren Sie in AD die Kontrolle möglicherweise an die Organisationseinheiten, die sie verwalten müssen (erstellen / löschen Sie Konten oder setzen Sie Kennwörter zurück, oder gar nichts).

Verwenden Sie dann die Gruppenrichtlinie, um Ihre Gruppe der lokalen Administratorgruppe auf den Arbeitsstationen und Servern hinzuzufügen. Verwenden Sie dazu Computer \ Windows-Einstellungen \ Sicherheitseinstellungen \ Eingeschränkte Gruppen . Stellen Sie diese Richtlinie nicht für die Organisationseinheit Domain Controllers oder die Organisationseinheiten bereit, die Ihre Server enthalten.

Dies hängt natürlich davon ab, ob ein AD so konfiguriert ist, dass die Client-Systeme von den Servern getrennt sind.

Doug Luxem
quelle
3

Wenn wir in Active Directory-Umgebungen voranschreiten, in denen die Benutzerkontensteuerung eine Standardfunktion ist, müssen Sie dies ebenfalls berücksichtigen.

Standardmäßig erhalten nur das lokale Administratorkonto und die Mitglieder von Domänenadministratoren eine automatische Erhöhung. Dies ist für viele Dinge erforderlich (die Verbindung zu Remoteadministratorfreigaben ist eine, anscheinend ist dies ein Problem bei der Konfiguration von MSMQ und NLB. Ich bin sicher, dass es auch andere gibt.) Das Einfügen einer neuen Gruppe in das lokale Administratorkonto ist möglicherweise nicht ausreichend.

Um dies zu umgehen, müssen Sie die Sicherheitsrichtlinie "Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Administratoren im Administratorgenehmigungsmodus" unter Lokale Richtlinien, Lokale Sicherheitseinstellungen ändern und den Wert auf "Keine Eingabeaufforderung" setzen . Hoffentlich entwickelt Microsoft in Zukunft eine zielgerichtetere Methode, um dies zu erreichen (oder um die Randfälle zu beheben, bei denen die erforderliche Genehmigungsaufforderung auf AWOL festgelegt wird).

Helvick
quelle
0

Richten Sie eine Berechtigungsgruppe ein, legen Sie fest, dass die von ihm gewünschten Computer Mitglieder dieser Gruppe verwalten können, und geben Sie ihm die vollständige Kontrolle über die Elemente in dieser Gruppe.

Ziemlich einfach. Active Directory wurde für diese Art von Problemen entwickelt. Erstellen Sie einfach einen neuen Gruppenordner und ändern Sie die Sicherheitseinstellungen unter Eigenschaften.

Satanicpuppy
quelle
Wie gibt er den Mitgliedern dieser Gruppe die Möglichkeit, Arbeitsstationen zur Domäne hinzuzufügen und daraus zu entfernen?
Tomjedrz
@ Tomjedrz Guter Anruf. Hab das nicht gesehen. Ich weiß nicht ... Wir erlauben Leuten nicht, in der Domain herumzuspielen, wenn sie nicht vollwertige Administratoren sind.
Satanicpuppy
Sie können [eingeschränkte] Rechte an bestimmte Organisationseinheiten an Konten niedrigerer Ebene delegieren, möchten jedoch möglicherweise Computerkonten in der entsprechenden Organisationseinheit vorab ausfüllen, um Unordnung zu vermeiden.
Helvick