Upoštevanje uporabe skupine lokalnih skrbnikov v domeni Active Directory

S pravilniki skupine domen lahko dodate potrebne uporabnike AD (ali skupine) v lokalno skrbniško skupino na strežnikih ali delovnih postajah. Tako lahko dodelite lokalne skrbniške pravice na domenskih računalnikih uslužbencem tehnične podpore, storitvi HelpDesk, nekaterim uporabnikom in drugim privilegiranim računom. V tem članku bomo pokazali, koliko načinov upravljanja članov lokalne skrbniške skupine na računalnikih domene prek GPO.

Vsebina:

  • Dodajanje uporabnikov v skupino lokalnih skrbnikov prek nastavitev skupinske politike
  • Upravljanje lokalnih skrbnikov prek omejenih skupin
  • Dodelitev pravic skrbnika na določenem računalniku

Upoštevanje uporabe skupine lokalnih skrbnikov v domeni Active Directory

Ko dodate računalnik v AD domeno v skupini Skrbniki skupine se samodejno dodajo Administratorji domene, in skupina Uporabnik domene dodan lokalnim Uporabniki.

Najlažji način dodelitve lokalnih skrbniških pravic določenemu računalniku je dodajanje uporabnika ali skupine v varnostno skupino lokalnih skrbnikov prek lokalnega vtičnika "Lokalni uporabniki in skupine" - lusrmgr.msc) Vendar je ta metoda zelo neprijetna, če je veliko računalnikov in čez čas v skupinah lokalnih skrbnikov bo zagotovo še več osebnosti. I.e. s tem načinom dodeljevanja pravic je neprijetno nadzorovati sestavo skupine lokalnih skrbnikov.

Microsoft Best Best Practices priporoča uporabo naslednjih skupin za ločevanje skrbnikov v domeni:

  • Administratorji domene - skrbniki domen se uporabljajo samo na krmilnikih domen; Z vidika varnosti privilegiranih skrbniških računov ni priporočljivo opravljati vsakodnevnih administrativnih nalog delovnih postaj in strežnikov pod računom s pravicami skrbnika domene. Takšne račune je treba uporabljati samo za naloge upravljanja AD (dodajanje novih krmilnikov domen, upravljanje podvajanja, sprememba sheme itd.). Večino nalog za upravljanje domene, računalnika in uporabnikov je mogoče prenesti na redne skrbniške račune. Za prijavo na katere koli delovne postaje in strežnike kromiranih krmilnikov domene ne uporabljajte računov iz skupine domenskih skrbnikov.
  • Administratorji strežnikov - skupina za oddaljeno prijavo na strežnike članov domene. Ne sme biti član skupine Domain Admins in ne sme biti vključen v skupino lokalnih skrbnikov na delovnih postajah;
  • Administratorji delovne postaje - Skupina samo za računalniško administracijo. Ne sme biti vključen ali vsebovati skupin domenskih skrbnikov in skrbnikov strežnikov;
  • Uporabniki domen - redni uporabniški računi za tipične pisarniške operacije. Ne sme imeti skrbniških pravic na strežnikih ali delovnih postajah.
Prav tako lahko popolnoma zavrnete zagotavljanje skrbniških pravic za uporabnike domene in skupine. V tem primeru za izvajanje administrativnih nalog v računalnikih uporabite vgrajenega lokalnega skrbnika z geslom, shranjenim v AD-ju (izvedeno z uporabo LAPS).

Recimo, da moramo skupini tehnične podpore in uslužbencem HelpDeska zagotoviti lokalne skrbniške pravice za računalnike v določenem uradnem uradu. Ustvarite novo varnostno skupino v domeni s programom PowerShell in ji dodajte račune tehnične podpore:

Nova-ADGroup "mskWKSAdmins" -path "OU = Skupine, OU = Moskva, DC = winitpro, DC = ru" -GroupScope Global -PassThru

Add-AdGroupMember - Identity mskWKSAdmins -Members user1, user2, user3

Odprite konzolo za urejanje pravilnika skupin domen (GPMC.msc) in ustvarite nov pravilnik AddLocaAdmins in ga dodelite OU z računalniki (v mojem primeru je to 'OU = Računalniki, OU = Moskva, dc = winitpro, DC = ru').

Politike skupin AD imajo dve metodi za upravljanje lokalnih skupin na domenskih računalnikih. Upoštevajte jih po vrsti:

  • Skupine z omejenimi možnostmi
  • Upravljanje lokalnih skupin prek nastavitev skupinske politike

Dodajanje uporabnikov v skupino lokalnih skrbnikov prek nastavitev skupinske politike

Nastavitve skupinskih pravilnikov (GPP) zagotavljajo najbolj prožen in priročen način dodelitve lokalnih skrbniških pravic na domenskih računalnikih s pomočjo GPO-jev.

  1. Odprite pravilnik AddLocaAdmins, ki ste ga ustvarili prej v načinu urejanja;
  2. Pojdite na razdelek GPO: Konfiguracija računalnika -> Nastavitve -> Nastavitve nadzorne plošče -> Lokalni uporabniki in skupine;
  3. Z desnim klikom na desno okno in dodajte novo pravilo (Novo -> Lokalna skupina);
  4. V polju Dejanje izberite Posodobiti (to je pomembna možnost!);
  5. Na spustnem seznamu Ime skupine izberite Skrbniki (Vgrajeni). Tudi če je bila ta skupina v računalniku preimenovana, bodo nastavitve za lokalno skrbniško skupino uporabile njen SID - S-1-5-32-544;
  6. Pritisnite gumb Dodaj in določite skupine, ki jih želite dodati v lokalno skupino skrbnikov (v našem primeru je to mskWKSAdmins). Če želite ročno odstraniti uporabnike in skupine iz trenutne lokalne skupine v računalniku, potrdite polje »Izbrišite vse uporabnike"In"Izbrišite vse skupine članov" V večini primerov je to priporočljivo, ker Zagotavljate, da bo na vseh računalnikih samo dodeljena skupina domen imela skrbniške pravice. Če uporabnika ročno dodate v skrbniško skupino v računalniku, se bo naslednjič, ko uporabite pravilnik, samodejno izbrisal.
  7. Shranite pravilnik in počakajte, da se uporabi za stranke. Če želite takoj uporabiti pravilnik, zaženite ukaz gpupdate / force.
  8. Na katerem koli računalniku odprite priključek lusrmgr.msc in preverite člane lokalne skupine Administratorji. V skupino je treba dodati samo mskWKSAdmins, vsi ostali uporabniki in skupine pa bodo izbrisani. S pomočjo ukaza se lahko prikaže seznam lokalnih skrbnikov neto skrbniki lokalnih skupin ali neto skrbniki lokalnih skupin - v ruski različici sistema Windows. Če pravilnik za stranko ne velja, uporabite ukaz gpresult za diagnostiko. Prepričajte se tudi, da je računalnik v uradni enoti, na katero je usmerjen pravilnik, in preverite tudi priporočila v članku "Zakaj se politike ne uporabljajo v domeni AD?".

Konfigurirate lahko dodatne (natančne) pogoje za ciljanje tega pravilnika na določene računalnike z uporabo filtrov WMI GPO ali Ciljanje na ravni predmeta. V drugem primeru pojdite na zavihek Skupno in preverite možnost ciljanja na ravni predmeta. Kliknite na gumb Ciljanje. Tu lahko določite pogoje, ko se bo uporabljal ta pravilnik. Na primer, želim, da se politika dodajanja skrbniških skupin uporablja samo za računalnike z Windows 10, katerih imena NetBIOS / DNS ne vsebujejo adm. Lahko uporabite svoje pogoje filtra..

Temu pravilniku ni priporočljivo dodajati računov posameznih uporabnikov, bolje je uporabiti varnostne skupine domen. V tem primeru dodeliti pravice skrbnikov naslednjem zaposlenemu. podpora, preprosto ga morate dodati v skupino domen (ni vam treba urejati GPO),

Upravljanje lokalnih skrbnikov prek omejenih skupin

Pravilnik o omejenih skupinah omogoča tudi dodajanje skupin / uporabnikov domen v lokalne varnostne skupine v računalnikih. To je starejši način dodelitve lokalnih skrbniških pravic in se zdaj manj pogosto uporablja (metoda je manj prilagodljiva kot metoda z nastavitvami skupinske politike).

  1. Preklopite v način urejanja pravilnikov;
  2. Razširite razdelek Konfiguracija računalnika -> Politike -> Varnostne nastavitve -> Omejene skupine (Konfiguracija računalnika -> Politike -> Varnostne nastavitve -> Omejene skupine);
  3. V kontekstnem meniju izberite Dodaj skupino;
  4. V oknu, ki se odpre, določite Skrbniki -> Ok;
  5. V razdelku „Člani te skupine"Kliknite Dodaj in določite skupino, ki jo želite dodati lokalnim skrbnikom;
  6. Spremembe shranite, uporabite pravilnik za uporabniške računalnike in preverite lokalne skupine Skrbniki. V njem naj ostane samo skupina, navedena v pravilniku..
Ta pravilnik vedno (!) Izbriše vse obstoječe člane v skupini lokalnih skrbnikov (ročno jih dodajo drugi pravilniki ali skripti). Če je v računalniku več pravilnikov z nastavitvami skupin z omejenimi možnostmi, velja samo slednje. To omejitev lahko zaobidete tako, da skupino mskWKSAdmins najprej dodate v skupine z omejitvami in nato to skupino vključite v skrbnike.

Dodelitev pravic skrbnika na določenem računalniku

Včasih morate v določenem računalniku podati posebne pravice skrbnika uporabnika. Na primer, imate več razvijalcev, ki občasno potrebujejo povišane privilegije za preizkušanje gonilnikov, odpravljanje napak in namestitev v svoje računalnike. Nepraktično jih je dodajati v skupino skrbnikov delovnih postaj na vseh računalnikih.

Za odobritev pravic. Administrator v enem določenem računalniku lahko uporabite takšno shemo.

Pravico v pravilniku AddLocalAdmins, ki ste ga ustvarili prej v razdelku s nastavitvami (Konfiguracija računalnika -> Nastavitve -> Nastavitve nadzorne plošče -> Lokalni uporabniki in skupine) ustvarite nov vnos za skupino skrbnikov z naslednjimi nastavitvami:

  • Ukrep: Posodobitev
  • Ime skupine: Skrbniki (vgrajeno)
  • Opis: »Dodajanje apivanov v lokal. skrbniki na msk-ws24 ”
  • Člani: Dodaj -> apivanov
  • Zavihek Pogosti -> Ciljanje določite pravilo: "Ime računalnika NETBIOS je msk-ws24" I.e. ta pravilnik bo veljal samo v računalniku, ki je tukaj naveden.

Bodite pozorni tudi na uporabo skupin na računalniku - Naročilo. Nastavitve lokalne skupine se uporabljajo od zgoraj navzdol (začenši s pravilnikom iz naročila 1).

Prvi pravilnik GPP (z nastavitvami "Izbriši vse članske uporabnike" in "Izbriši vse skupine članov", kot je opisano zgoraj) odstrani vse uporabnike / skupine iz lokalne skrbniške skupine in doda določeno domensko skupino. Potem bo za določen računalnik uporabljen dodatni pravilnik, ki bo določenega uporabnika dodal skrbnikom. Če želite spremeniti vlogo za članstvo v skupini Administratorji, uporabite gumbe na vrhu konzole urejevalnika GPO.

Kategorija