Предоставление прав локального администратора на машинах домена пользователю

active-directoryПоставили задачу: обеспечить нескольким пользователям домена права локальных администраторов на ряде компьютеров домена, для возможности установки программ, оборудования, например, локальных принтеров. По-умолчанию, администратор домена является и локальным администратором компьютеров, включенных в домен. Но давать права или пароль от учетной записи администратора домена, пусть даже продвинутому пользователю, пожалуй, худший из возможных вариантов. Ходить, и в ручную добавлять выбранных пользователей на каждую рабочую станцию, тоже не вариант.

В итоге остановился на достаточно гибком решении при помощи групповых политик.

Запускаем оснастку «Active Directory — пользователи и компьютеры» и создаем глобальную группу безопасности. Для ясности назовем ее «Администраторы локальных машин»la01

 

Далее, запускаем оснастку «Управление групповой политикой» и создаем новый объект групповой политики. Для ясности, назовем политику «Локальные администраторы (PC)» /я обычно помечаю, на что действует та или иная политика. В данном случае PC — на компьютер/

la02Далее, изменяем созданную политику. Выбираем ветку: «Конфигурация компьютера» → «Конфигурация Windows» → «Параметры безопасности» → Группы с ограниченным доступом

la03a

И выбираем Добавить группу…

При добавлении группы указываем ранее созданную группу «Администраторы локальных машин»

la04a

Далее добавляем запись в нижней части «Эта группа входит в:»

la05

Указываем группу «Администраторы»

la06

Жмем Ок. Политика создана.

la07

Можно посмотреть политику перейдя на вкладку «Параметры»

la08

Как видно, политика применяется к компьютеру и включает группу «домен\Администраторы локальных машин» во встроенную группу локальных администраторов компьютера.

Теперь, можно создать подразделение, например, «Рабочие станции», поместить туда компьютеры, для которых необходимо применить политику

la09

После этого следует назначить подразделению созданную нами политику.

la10

В итоге, после применения политики, те пользователи, которые находятся в группе «Администраторы локальных машин» станут локальными администраторами на компьютерах, входящих в данное подразделение. При этом в домене они могут оставаться обычными пользователями.

Такое решение удобно тем, что при необходимости можно легко изменить список лиц с правами локального администратора или включать/отключать существующий список по мере необходимости.

Как видно из примера, все достаточно просто и, надеюсь, понятно.

ВАЖНО!!! Используя данный метод, появляется возможность входа на сервера с такой учетной записью.
Данный вопрос изучается.

 

4 комментария

  1. Илья

    on 06.11.2014 at 22:44 -

    Все равно запрашивает пароль администратора домена.

  2. Rewalon

    on 15.11.2014 at 09:57 -

    Rewalon

    Для применения политики, обычно, требуется время. В нашей сети все успешно работает, и паролей администратора домена не запрашивается.

  3. deFlash

    on 12.01.2015 at 15:13 -

    Так что с уезвимосью входа на сервер? Имеется ввиду локальный вход?