Criteri di gruppo: diritti di amministratore per utenti specifici su computer specifici

11

Sono un programmatore bloccato nel tentativo di amministrare una configurazione di Active Directory per una piccola azienda. Il controller di dominio esegue Windows Small Business Server 2008.

Abbiamo uno staff di operatori sul campo che utilizzano tablet PC; problemi di configurazione con il bloatware ThinkVantage del tablet richiederanno a questi utenti di avere il diritto di amministratore quando utilizzano i tablet. Va bene - è utile per loro avere ampi privilegi quando li sto guidando attraverso una correzione al telefono, quindi non sto cercando un aggancio lì.

Vorrei utilizzare Criteri di gruppo per impostare il seguente scenario: Gli utenti di un determinato gruppo di sicurezza (o unità organizzativa) dovrebbero essere nel gruppo BUILTIN / Administrators quando hanno effettuato l'accesso ai computer di un determinato gruppo di sicurezza (o unità organizzativa). Va bene se i computer devono trovarsi in un'unità organizzativa, ma preferirei assegnare gli utenti per gruppo.

Naturalmente, i lavoratori sul campo non dovrebbero essere amministratori su altre workstation e il personale degli uffici alla vaniglia non dovrebbe essere amministratori sui tablet.

Attualmente, questo viene gestito localmente su ogni tablet, ma quando aggiungiamo nuovi assunti, sta diventando sempre più una seccatura.

Sento che Restricted Groups è la risposta qui, ma senza una solida base in concetti e metodi di AD, sto facendo fatica a realizzarlo.

Qual è la tecnica corretta per questo compito e come farei per implementarlo?

security  active-directory  permissions  group-policy 
WCWedin
fonte

Risposte:

13

Crea un gruppo per incapsulare gli utenti (Local-Admins-Tablets) e aggiungerli a questo gruppo

Crea un'unità organizzativa secondaria delle unità operative correnti e inserisci qui i tablet (Workstation \ Tablet)

Creare un oggetto Criteri di gruppo (Local-Admins-Tablets-Policy) e collegarlo all'unità organizzativa Workstations \ Tablets

Nell'oggetto Criteri di gruppo, impostare quanto segue:

  • Comp Config - Politiche - Impostazioni di Windows - Impostazioni di sicurezza - Gruppi con restrizioni
  • Fare clic con il tasto destro, Aggiungi gruppo
  • "Amministratori", OK
  • Membri di questo gruppo: myDomain \ Local-Admins-Tablets

Riavvia i PC e il gioco è fatto.

Tenere presente che l'impostazione di Gruppi con restrizioni sovrascriverà l'elenco esistente di amministratori locali di macchine. Se sono già presenti altri utenti / gruppi, è necessario aggiungerli anche a questo criterio. Altri esempi potrebbero essere myDomain \ Domain Admins ecc

EDIT: Oh, e cambia il filtro sull'oggetto Criteri di gruppo e aggiungi i computer di dominio . Il modo più semplice per eseguire questa operazione è utilizzare lo snap-in MMC Gestione criteri di gruppo (è possibile ottenerlo dagli Strumenti di amministrazione remota del server da Microsoft)

Izzy
fonte
5
+1. I gruppi con restrizioni sono la soluzione qui. Un gpupdate / force sulle workstation è sufficiente per rendere effettiva la modifica, annullando la necessità di un riavvio.
joeqwerty,
Se i tablet sono sul campo di solito è più facile far riavviare l'utente piuttosto che spiegare "apri cmd, digita gpupdate / force / boot" ecc :)
Izzy,
1
Utilizzando le preferenze di criteri di gruppo ( technet.microsoft.com/en-us/library/cc731892%28WS.10%29.aspx ) è possibile aggiornare un gruppo locale senza sovrascrivere nulla.
Zoredache,
1
Bene, questo ha funzionato! Solo due domande: ho capito che esploderà completamente tutti gli attuali membri del gruppo Admin, inclusi gli utenti locali, giusto? Potrebbe rivelarsi una brutta sorpresa. Presumo che l'account amministratore predefinito non sarà interessato da questo; è presuntuoso da parte mia?
WCWedin
1
Non l'ho mai provato, ho sempre aggiunto Builtin \ Administrators a quel gruppo con restrizioni. Cintura e bretelle :)
Izzy,
12

La risposta di Izzy va bene se non ti interessa che il gruppo Administrators sarà effettivamente bloccato dalle modifiche future dal computer locale. Ciò eliminerà anche tutti i gruppi che erano già membri del gruppo Amministratori prima dell'applicazione dell'impostazione del criterio.

Tuttavia, è possibile utilizzare la stessa impostazione di criterio in un modo leggermente diverso per aggirare quei fastidi (supponendo che li si consideri anche fastidi).

  • Crea la struttura dell'unità organizzativa / gruppo come prima
  • Quando ci si trova nella sezione Gruppi con restrizioni dell'oggetto Criteri di gruppo, Aggiungi gruppo, ma invece di specificare gli amministratori , specificare YOURDOMAIN \ Local-Admins-Tablets .
  • Nella sezione "Questo gruppo è membro di" , fai clic su Aggiungi e inserisci Amministratori

È una differenza sottile ma importante nel modo in cui funzionano le due sezioni. I membri di questo gruppo risultano effettivamente essere "Il gruppo A conterrà sempre e solo i gruppi X, Y e Z". Questo gruppo è membro del gruppo di lavoro "Essere sicuri che il gruppo A sia membro dei gruppi X, Y e Z".

Dopo aver impostato i criteri con i membri di questo gruppo , l'unica cosa che può modificare l'appartenenza al gruppo è un oggetto criterio prioritario che utilizza anche i membri di questo gruppo o qualsiasi altro criterio che utilizza questo gruppo .

Ryan Bolger
fonte
2

Sembra che tutto ciò che devi fare è creare una politica di gruppo che aggiunge un gruppo di domini al gruppo di amministratori locali. Questo è abbastanza facile da realizzare con un semplice script di avvio o con le preferenze di criteri di gruppo .

Script di avvio semplice per aggiungere membri del gruppo.

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")
Zoredache
fonte
Supponendo che stia usando W2K8, cosa che non posso dire sulla base della sua domanda.
joeqwerty,
Le preferenze lato client sono supportate su un dominio 2003r2. Semplicemente non avevo un link utile per un articolo del 2003r2.
Zoredache,
Modificata la domanda per aggiungere il sistema operativo. GPP sembra adattarsi bene a questo scenario, poiché è improbabile che gli utenti modifichino successivamente i loro gruppi, rendendo la sua natura temporanea un punto controverso. Detto questo, distribuire i prerequisiti su ogni macchina client sembra un grosso mal di testa.
WCWedin
1
Ecco perché farlo con un semplice script di avvio è anche una semplice opzione. Trovo le preferenze utili anche per molte altre cose. Potrebbe valere la pena installarli per altre cose che potrai realizzare in futuro.
Zoredache,
1

L'unico problema con la soluzione elencata è che concede i diritti di amministratore locale a tutte le macchine a cui si applica tale politica. In genere, si desidera concedere i diritti di amministratore solo a una macchina specifica. Quello che ho osservato è quando un utente si rende conto di avere i diritti di amministratore locale e va a installare il software per tutti i suoi compagni.

Esistono diversi modi in cui puoi farlo, ma potrei solo suggerirne uno. Completa quindi i passaggi come sopra ma crea anche un gruppo per ogni computer in cui gli utenti necessitano di diritti aggiuntivi. Ognuno di questi "Gruppi di computer" viene aggiunto al gruppo myDomain \ Local-Admins.

Gli utenti vengono quindi aggiunti al gruppo corrispondente alla macchina a cui devono accedere.

Quindi sono un amministratore ma solo di quella macchina.

Giacobbe
fonte
0

Dici che l'aggiunta di nuovi assunti è una seccatura, ma non dovrebbe essere l'aggiunta di nuovi tablet che sarebbe una seccatura?

Farei qualcosa del genere:

Avere un gruppo di sicurezza del dominio che contiene tutti gli utenti che dovrebbero essere amministratori sui tablet PC (ad esempio TabletAdministrators).

Su ciascun tablet, aggiungi quel gruppo al gruppo Amministratori.

Se questa è la tecnica corretta o no, non lo so. È solo la prima idea che mi viene in mente su come implementare.

Barrett Jacobsen
fonte
2
Non dovrebbe essere aggiunto manualmente a ogni macchina. Ecco a cosa servono i Criteri di gruppo
Izzy,
1
Quando si configura un nuovo tablet, devo aggiungere aggiungere 15 utenti a un tablet. Quando si aggiunge un nuovo dipendente, devo aggiungere un utente a 20 compresse. Entrambi sono una seccatura, ma i meccanismi del camminare da una macchina all'altra rendono questo processo noioso e lento. Il tuo approccio lo allevierebbe sostanzialmente, anche se non è particolarmente elegante.
WCWedin
1
+1 su questo voto per ripristinarlo un po '. Questa potrebbe non essere la soluzione migliore ma è una soluzione valida. Le persone non dovrebbero essere sotto votate per aver proposto una soluzione valida solo perché non è la soluzione preferita. L'unica cosa che manca a questa soluzione è l'uso di Gruppi con restrizioni per automatizzare il processo di aggiunta del gruppo al gruppo Local Admins. Dico +1 per sforzo e per contribuire alla risposta.
joeqwerty,
0

Ho scritto uno script che viene eseguito come criterio informatico con diritti amministrativi sulla workstation locale. Controlla l'ultima descrizione dell'utente connesso in AD che un amministratore di dominio può impostare da "Utenti e computer di Active Directory", se contiene il nome della workstation, lo script aggiunge l'utente al gruppo di amministratori locali, se il nome della workstation non è nel descrizione dell'utente, rimuove l'utente dal gruppo di amministratori locali. Una descrizione può includere più di un nome di computer, come questo:

Descrizione dell'utente: "Amministratore locale su WKST-E445R e WKST-VM398"

Quindi, per rendere qualcuno un amministratore locale su una sola macchina, devo solo aggiungere il nome di questo computer alla descrizione dell'utente in AD e chiedere all'utente di riavviare , e la rimozione del nome del computer rimuove i diritti di amministratore locale.

Non è la soluzione più accurata di sempre? :-)

Ecco la sceneggiatura:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end
HeHe
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.