在使用受限组时授予用户本地管理员权限
在使用受限组时授予用户本地管理员权限
提问于 2016-07-14 21:52:34
以前的管理员在默认域策略中配置了受限组。在管理员的受限组中,他们添加了域管理员组以及名为Local的域安全组。他们在本地管理员组中填充了大约15个用户,这些用户需要在他们自己的系统上访问本地管理员。他们已经将其限定为包含域中所有计算机对象的OU。正如猜测的那样,预期的结果是这些用户现在可以在所有主机上访问本地管理权限。
我想重新设计这一点,并寻求一些建议。当前,如果我在自己的系统上授予用户本地管理访问权限;当GPO刷新时,受限组部分将删除其访问权限。出于明显的安全原因,我不希望他们对每台机器都有访问权限。管理层意识到了与拥有本地管理权限的用户相关的风险,并接受了这些风险(这些风险主要是内部开发人员)。
理想的goal....develop方法,即域管理员可以在所有系统上访问,同时能够为一小群用户分配本地管理权限给他们自己的系统,而没有人会这样做。我不完全确定我是否能够完全通过限制组,或者通过多个GPO的混合来做到这一点。我完全开放的任何其他想法,从谁已经实施了这一点。
谢谢!
回答 1
Server Fault用户
发布于 2016-07-15 03:07:50
你需要创建新的OU。1.将计算机帐户分组为新的OU。2.阻止新OU的继承&不要强制执行默认域策略。3创建默认域策略的副本并编辑其,将所需帐户添加到用户权限分配中,并将其链接到新的OU。
我们有一个类似的要求“一小部分用户对他们自己的系统的本地管理权限,而不是其他人”,这就是我们所做的。
否则,在活动目录中,用户和计算机将限制用户登录到他们的计算机(主机名),并且默认的域策略已经到位。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/789942
复制相关文章
相似问题
腾讯云开发者
