Come creare un "amministratore di dominio" limitato che non ha accesso ai controller di dominio?

Sto cercando di creare un account simile a un amministratore di dominio, ma senza accesso ai controller di dominio. In altre parole, questo account avrà diritti di amministratore completi per qualsiasi macchina client nel dominio, sarà in grado di aggiungere macchine al dominio, ma avrà solo diritti utente limitati sui server.

Questo account verrà utilizzato da una persona in un tipo di ruolo di supporto tecnico per l'utente finale. Dovrebbero avere pieno accesso ai computer client per l'installazione di driver, applicazioni, ecc ... ma non li voglio sui server.

Anche se probabilmente potrei mettere insieme qualcosa da solo tramite la politica, probabilmente sarà disordinato, quindi ho pensato che avrei dovuto chiedere: qual è il modo corretto di procedere?

Facciamo qualcosa di simile a questo nei nostri uffici remoti. Innanzitutto, crea un gruppo per gli psuedo-amministratori nel dominio. In AD, delegare il controllo alle unità organizzative che potrebbe essere necessario gestire (creare / eliminare account o forse reimpostare le password o nulla).

Quindi utilizzare Criteri di gruppo per aggiungere il proprio gruppo al gruppo di amministratori locali su workstation e server utilizzando Computer \ Impostazioni di Windows \ Impostazioni di sicurezza \ Gruppi con restrizioni . Non distribuire questo criterio nelle unità organizzative dei controller di dominio o nelle unità organizzative contenenti i server.

Questo ovviamente dipende dall'avere un AD configurato in modo da separare i sistemi client dai server.

Mentre avanziamo negli ambienti di Active Directory in cui UAC è una funzionalità standard, dovrete anche tenerne conto.

Solo per impostazione predefinita L'account dell'amministratore locale e i membri di Domain Admins ottengono l'elevazione automatica e questo è necessario per molte cose (la connessione alle condivisioni dell'amministratore remoto è una, a quanto pare è un problema con la configurazione di MSMQ e NLB, sono sicuro che ce ne sono altre) il semplice inserimento di un nuovo gruppo nell'account Administrators locale potrebbe non essere sufficiente.

Per ovviare a questo problema, è necessario modificare il criterio di sicurezza "Controllo account utente: comportamento del prompt elevazione per amministratori in modalità Approvazione amministratore" in Criteri locali, Impostazioni di sicurezza locale e impostare il valore su "Nessun prompt" . Speriamo che Microsoft possa trovare un modo più mirato per farlo in futuro (o correggere i casi limite in cui il prompt di approvazione richiesto diventa AWOL).

Prova questo. È il modo più semplice che ho trovato finora: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx In sostanza, fai clic con il pulsante destro del mouse sulla cartella "COMPUTERS" in AD e seleziona "Controllo delegato". Segui la procedura guidata. Funziona in tutte le versioni del server.

Imposta un gruppo di autorizzazioni, fai in modo che i computer che desideri siano in grado di amministrare i membri di quel gruppo e dagli il pieno controllo sulle cose che appartengono a quel gruppo.

Abbastanza diretto. Active Directory è in realtà creato per questo tipo di problema. Basta creare una nuova cartella di gruppo e modificare le impostazioni di sicurezza in Proprietà.