A tartománycsoport-házirendek segítségével felveheti a szükséges AD-felhasználókat (vagy csoportokat) a kiszolgálók vagy munkaállomások helyi rendszergazdai csoportjába. Ily módon helyi rendszergazdai jogokat adhat a domain számítógépeken a műszaki támogatás alkalmazottainak, a HelpDesk szolgáltatásnak, egyes felhasználóknak és más privilegizált fiókoknak. Ebben a cikkben megmutatjuk, hogy a helyi rendszergazdai csoport tagjait hány módszerrel kezelhetünk tartományi számítógépeken GPO-n keresztül.
Tartalom:
- Felhasználók hozzáadása a helyi rendszergazdák csoporthoz a csoportházirend-preferenciákon keresztül
- Helyi rendszergazdák kezelése korlátozott csoportokon keresztül
- Rendszergazdai jogok megadása egy adott számítógépen
A helyi rendszergazdák csoportjának az Active Directory tartományban történő használatának szempontjai
Ha hozzáad egy számítógépet egy csoport AD-tartományához A rendszergazdák csoportok automatikusan hozzáadódnak Domain adminok, és a csoport Domain felhasználó hozzáadva a helyi felhasználók.
A helyi rendszergazdai jogok megadásának legegyszerűbb módja egy adott számítógéphez a felhasználó vagy csoport hozzáadása a helyi rendszergazdák biztonsági csoportjához a „Helyi felhasználók és csoportok” helyi beépülő modulon keresztül. - lusrmgr.msc). Ez a módszer azonban nagyon kényelmetlen, ha nagyon sok számítógép van, és a helyi rendszergazdák csoportjaiban idővel minden bizonnyal további személyiség lesz. Ie a jogok megadásának ilyen módszerével kényelmetlen a helyi adminisztrátorok csoportjának összetételének ellenőrzése.
A Microsoft klasszikus biztonsági bevált gyakorlata a következő csoportok használatát javasolja a tartomány rendszergazdáinak elválasztására:
- Domain adminok - A tartományi rendszergazdákat csak a tartományvezérlők használják; A kiváltságos rendszergazdai fiókok biztonsága szempontjából nem ajánlott a munkaállomások és a kiszolgálók adminisztrálása a napi feladatokkal egy tartományi rendszergazdai jogokkal rendelkező fiók alatt. Az ilyen fiókokat csak AD adminisztrációs feladatokhoz szabad felhasználni (új tartományvezérlők hozzáadása, replikációkezelés, sémamódosítás stb.). A legtöbb domain, számítógép és felhasználói kezelési feladat átruházható a rendes rendszergazdai fiókokra. Ne használja a Tartománygazdák csoport fiókjait a króm tartományvezérlők munkaállomásokra és kiszolgálóira történő bejelentkezéshez.
- Szerver adminok - csoport a távoli bejelentkezéshez a domain tagszerverekhez. Nem lehet a Tartománygazdák csoport tagja, és nem szabad belefoglalni a munkaállomások helyi rendszergazdáinak csoportjába;
- Munkaállomás rendszergazdái - Csoport csak számítógépes adminisztrációra. Nem tartalmazhatja, és nem tartalmazhat tartományi rendszergazdák és szervergazdák csoportokat;
- Domain felhasználók - rendszeres felhasználói fiókok a tipikus irodai műveletekhez. Nem szabad adminisztrátori jogokkal rendelkeznie a kiszolgálókon vagy a munkaállomásokon.
Tegyük fel, hogy technikai támogatást kell nyújtania és a HelpDesk alkalmazottainak helyi adminisztrátori jogokkal kell rendelkeznie egy adott OU számítógépén. Hozzon létre egy új biztonsági csoportot a tartományban a PowerShell használatával, és adjon hozzá technikai támogatási fiókokat:
Új-ADGroup "mskWKSAdmins" -út "OU = Csoportok, OU = Moszkva, DC = winitpro, DC = ru" -GroupScope Global -PassThru
Add-AdGroupMember -Identity mskWKSAdmins -Temberek user1, user2, user3
Nyissa meg a tartománycsoport-irányelv szerkesztési konzolt (GPMC.msc), hozzon létre egy új házirendet AddLocaAdmins és rendelje hozzá az OU-hoz számítógépekkel (az én példámban ez: OU = Computers, OU = Moszkva, dc = winitpro, DC = ru).
Az AD-csoportszabályoknak két módszerük van a helyi csoportok kezelésére a tartományi számítógépeken. Fontolja meg őket egymás után:
- Korlátozott csoportok
- Helyi csoportok kezelése a csoportházirend-preferenciákon keresztül
Felhasználók hozzáadása a helyi rendszergazdák csoporthoz a csoportházirend-preferenciákon keresztül
A csoportházirend-preferenciák (GPP) a leginkább rugalmas és legkényelmesebb módot biztosítják a helyi rendszergazdai jogok megadásához a tartományi számítógépeken GPO-k révén.
- Nyissa meg a korábban szerkesztési módban létrehozott AddLocaAdmins házirendet;
- Lépjen a GPO szakaszba: Számítógép konfigurálása -> Beállítások -> Vezérlőpult beállítások -> Helyi felhasználók és csoportok;
- Kattintson a jobb gombbal a jobb oldali ablakra, és adjon hozzá egy új szabályt (új -> Helyi csoport);
- A Művelet mezőben válassza a lehetőséget frissítés (ez egy fontos lehetőség!);
- A a Csoportnév legördülő listából válassza a Rendszergazdák (beépített) lehetőséget. Még akkor is, ha ezt a csoportot átnevezték a számítógépen, a beállításokat a SID - S-1-5-32-544 használja a helyi rendszergazdák csoportjára;
- Nyomja meg a gombot hozzáad és adja meg azokat a csoportokat, amelyeket fel szeretne venni a helyi rendszergazdák csoportjába (a mi esetünkben az mskWKSAdmins). Ha manuálisan hozzáadott felhasználókat és csoportokat szeretne eltávolítani a számítógép jelenlegi helyi csoportjából, ellenőrizze a „Az összes tag felhasználó törlése„És”Az összes tagcsoport törlése”. A legtöbb esetben ez tanácsos, mert Ön garantálja, hogy minden számítógépen csak a hozzárendelt tartománycsoport rendelkezik rendszergazdai jogokkal. Most, ha manuálisan hozzáadja a felhasználót a számítógép rendszergazdai csoportjához, a házirend legközelebbi alkalommal történő alkalmazásával automatikusan törlődik.
- Mentse el az irányelvet, és várja meg, amíg alkalmazni fogja az ügyfelekre. A házirend azonnali alkalmazásához futtassa a parancsot
gpupdate / force
. - Nyissa meg a lusrmgr.msc beépülő modult bármely számítógépen, és ellenőrizze a helyi Rendszergazdák csoport tagjait. Csak az mskWKSAdmin fájlokat szabad hozzáadni a csoporthoz, az összes többi felhasználó és csoport törlődik. A helyi rendszergazdák listája a parancs segítségével jeleníthető meg
net localgroup rendszergazdák
vagynet localgroup rendszergazdák
- a Windows orosz verziójában. Ha a házirendet nem alkalmazzák az ügyfélen, akkor használja a gpresult parancsot a diagnosztikához. Ezenkívül győződjön meg arról, hogy a számítógép az OU-ban van, amelyre a politika irányul, és ellenőrizze a „Miért nem vonatkoznak az irányelvek az AD tartományra?” Című cikkben szereplő ajánlásokat..
Beállíthat további (szemcsés) feltételeket arra, hogy ezt a házirendet konkrét számítógépekre célozza meg WMI GPO szűrők vagy Elemszintű célzás. A második esetben lépjen a Közös lapra, és ellenőrizze az Elemszintű célzás lehetőséget. Kattintson a gombra célzás. Itt meghatározhatja a házirend alkalmazásának feltételeit. Például azt szeretném, ha az adminisztrátori csoportok hozzáadására vonatkozó irányelvet csak a Windows 10 operációs rendszerű számítógépekre alkalmaznák, amelyek NetBIOS / DNS nevei nem tartalmazzák adm
. Használhatja a szűrési feltételeket..
Nem ajánlott egyedi felhasználói fiókokat hozzáadni ehhez a házirendhez, jobb, ha a domain biztonsági csoportokat használja. Ebben az esetben az adminisztrátorok jogainak megadása a következő alkalmazottnak. támogatás, csak hozzá kell adnia a domain csoporthoz (a GPO-t nem kell szerkesztenie),
Helyi rendszergazdák kezelése korlátozott csoportokon keresztül
A Korlátozott csoportok irányelv lehetővé teszi domain-csoportok / felhasználók hozzáadását a számítógépek helyi biztonsági csoportjaihoz. Ez egy idősebb módszer a helyi rendszergazdai jogok megadására, és manapság ritkábban használják (a módszer kevésbé rugalmas, mint a csoportházirend-preferenciákkal rendelkező módszer)..
- Váltás az irányelv szerkesztési módjára;
- Bontsa ki a Számítógép konfigurálása -> Irányelvek -> Biztonsági beállítások -> Korlátozott csoportok részt (Számítógép konfigurálása -> Szabályzatok -> Biztonsági beállítások -> Korlátozott csoportok);
- A helyi menüben válassza a lehetőséget Csoport hozzáadása;
- A megnyíló ablakban adja meg A rendszergazdák -> Rendben;
- A „A csoport tagjai„sajtó hozzáad és adja meg azt a csoportot, amelyet hozzáadni szeretne a helyi rendszergazdákhoz;
- Mentse el a módosításokat, alkalmazza a házirendet a felhasználói számítógépekre, és ellenőrizze a helyi csoportokat A rendszergazdák. Csak az irányelvben megjelölt csoport maradhat benne..
Rendszergazdai jogok megadása egy adott számítógépen
Időnként meg kell adnia egy adott felhasználói rendszergazdai jogot egy adott számítógépen. Például több fejlesztõvel rendelkezik, akiknek idõszakra magas szintû jogosultságokra van szükségük az illesztõprogramok teszteléséhez, hibakereséshez és a számítógépükre történõ telepítéshez. Gyakorlatlan hozzátenni őket az összes számítógépen található munkaállomások adminisztrátorok csoportjához.
Jogok megadása lok. admin egy adott számítógépen, akkor használhatja ezt a sémát.
Közvetlenül a Preferences szakaszban korábban létrehozott AddLocalAdmins házirendben (Számítógép konfiguráció -> Beállítások -> Vezérlőpult beállításai -> Helyi felhasználók és csoportok) hozzon létre egy új bejegyzést az Rendszergazdák csoporthoz a következő beállításokkal:
- akció: Frissítés
- Csoport neve: Rendszergazdák (beépített)
- leírás: “Apivanov hozzáadása a helyhez. adminisztrátorok az msk-ws24-en ”
- Belépés: Add -> apivanov
- lap közös -> célzás adja meg a szabályt: „A NETBIOS számítógép neve MSK-ws24”. Ie ez az irányelv csak az itt megadott számítógépen lesz érvényes.
Ügyeljen arra is, hogy a csoportok számítógépen vannak-e alkalmazva - rendelés. A helyi csoportbeállításokat felülről lefelé kell alkalmazni (az 1. sorrend házirendjével kezdve).
Az első GPP-házirend (a „Minden tag felhasználó törlése” és „Az összes tagcsoport törlése” beállításokkal a fent leírtak szerint) eltávolítja az összes felhasználót / csoportot a helyi rendszergazdai csoportból, és hozzáadja a megadott tartományt. Ezután további házirendet alkalmaznak egy adott számítógépre, és hozzáadják a megadott felhasználót az adminisztrátorokhoz. Ha módosítania kell a Rendszergazdák csoport tagságának alkalmazását, használja a GPO szerkesztőkonzol tetején található gombokat.