Korzystając z zasad grupy domen, możesz dodać niezbędnych użytkowników AD (lub grupy) do lokalnej grupy administratorów na serwerach lub stacjach roboczych. W ten sposób możesz przyznać uprawnienia lokalnego administratora na komputerach domeny pracownikom pomocy technicznej, usłudze HelpDesk, niektórym użytkownikom i innym uprzywilejowanym kontom. W tym artykule pokażemy, jak wiele sposobów zarządzania członkami lokalnej grupy administratorów na komputerach domeny za pomocą GPO.

Treść

• Dodawanie użytkowników do lokalnej grupy administratorów za pomocą Preferencji zasad grupy
• Zarządzanie lokalnymi administratorami za pośrednictwem grup z ograniczeniami
• Przyznawanie praw administratora na określonym komputerze

Uwagi dotyczące korzystania z lokalnej grupy administratorów w domenie Active Directory

Po dodaniu komputera do domeny AD w grupie Administratorzy grupy są dodawane automatycznie Administratorzy domeny, i grupa Użytkownik domeny dodano do lokalnego Użytkownicy.

Najprostszym sposobem na przyznanie uprawnień lokalnego administratora konkretnemu komputerowi jest dodanie użytkownika lub grupy do lokalnej grupy zabezpieczeń Administratorzy poprzez lokalną przystawkę „Lokalni użytkownicy i grupy” - lusrmgr.msc) Jednak ta metoda jest bardzo niewygodna, jeśli jest dużo komputerów i z czasem w grupach lokalnych administratorów z pewnością pojawią się dodatkowe osobowości. Tj. dzięki tej metodzie przyznawania uprawnień niewygodne jest kontrolowanie składu grupy lokalnych administratorów.

Microsoft Classic Security - najważniejsze wskazówki zaleca stosowanie następujących grup do oddzielania administratorów w domenie:

• Administratorzy domeny - administratorzy domen są wykorzystywani tylko na kontrolerach domen; Z punktu widzenia bezpieczeństwa kont uprzywilejowanych administratorów nie zaleca się wykonywania codziennych zadań związanych z administrowaniem stacjami roboczymi i serwerami na koncie z uprawnieniami administratora domeny. Konta takie powinny być używane tylko do zadań administracyjnych AD (dodawanie nowych kontrolerów domeny, zarządzanie replikacją, modyfikacja schematu itp.). Większość zadań zarządzania domeną, komputerem i użytkownikami można delegować na zwykłe konta administratora. Nie używaj kont z grupy Administratorzy domeny do logowania się na stacjach roboczych i serwerach kontrolerów domeny chrome.
• Administratorzy serwera - grupa do zdalnego logowania na serwerach członkowskich domeny. Nie powinien być członkiem grupy Domain Admins i nie powinien być włączony do grupy lokalnych administratorów na stacjach roboczych;
• Administratorzy stacji roboczych - Grupa tylko do administracji komputerowej. Nie może być dołączony ani zawierać administratorów domen i grup administratorów serwerów;
• Użytkownicy domeny - zwykłe konta użytkowników do typowych operacji biurowych. Nie może mieć uprawnień administratora na serwerach lub stacjach roboczych.

Ponadto możesz całkowicie odmówić przyznania uprawnień administratora użytkownikom domeny i grupom. W takim przypadku, aby wykonywać zadania administracyjne na komputerach, użyj wbudowanego lokalnego administratora z hasłem przechowywanym w AD (zaimplementowanym przy użyciu LAPS).

Załóżmy, że musimy zapewnić grupie wsparcia technicznego i pracownikom HelpDesk uprawnienia lokalnych administratorów na komputerach w określonej jednostce organizacyjnej. Utwórz nową grupę zabezpieczeń w domenie za pomocą PowerShell i dodaj do niej konta pomocy technicznej:

Nowa grupa AD „mskWKSAdmins”-ścieżka „OU = grupy, OU = Moskwa, DC = winitpro, DC = ru” -GroupScope Global -PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members użytkownik1, użytkownik2, użytkownik3

Otwórz konsolę edycji zasad grupy domen (GPMC.msc), utwórz nową zasadę AddLocaAdmins i przypisz go do OU z komputerami (w moim przykładzie jest to „OU = Komputery, OU = Moskwa, dc = winitpro, DC = ru”).

Zasady grupy AD mają dwie metody zarządzania grupami lokalnymi na komputerach domeny. Rozważ je kolejno:

• Grupy z ograniczeniami
• Zarządzanie grupami lokalnymi za pomocą Preferencji zasad grupy

Dodawanie użytkowników do lokalnej grupy administratorów za pomocą Preferencji zasad grupy

Preferencje zasad grupy (GPP) zapewniają najbardziej elastyczny i wygodny sposób przyznawania uprawnień lokalnych administratorów na komputerach domeny za pośrednictwem obiektów GPO.

1. Otwórz politykę AddLocaAdmins utworzoną wcześniej w trybie edycji;
2. Przejdź do sekcji GPO: Konfiguracja komputera -> Preferencje -> Ustawienia panelu sterowania -> Lokalni użytkownicy i grupy;
3. Kliknij prawym przyciskiem myszy prawym oknie i dodaj nową regułę (Nowy -> Grupa lokalna);
4. W polu Akcja wybierz Aktualizacja (jest to ważna opcja!);
5. Z listy rozwijanej Nazwa grupy wybierz Administratorzy (wbudowane). Nawet jeśli nazwa tej grupy zostanie zmieniona na komputerze, ustawienia zostaną zastosowane do lokalnej grupy administratorów przez jej SID - S-1-5-32-544;
6. Naciśnij przycisk Dodaj i określ grupy, które chcesz dodać do lokalnej grupy administratorów (w naszym przypadku jest to mskWKSAdmins) Jeśli chcesz usunąć ręcznie dodanych użytkowników i grupy z bieżącej grupy lokalnej na komputerze, zaznacz „Usuń wszystkich użytkowników członkowskich”I„Usuń wszystkie grupy członków„ W większości przypadków jest to wskazane, ponieważ Gwarantujesz, że na wszystkich komputerach tylko przypisana grupa domen będzie miała uprawnienia administratora. Teraz, jeśli ręcznie dodasz użytkownika do grupy administratorów na komputerze, przy następnym zastosowaniu zasady zostanie ona automatycznie usunięta.
7. Zapisz zasadę i poczekaj, aż zostanie zastosowana do klientów. Aby natychmiast zastosować zasadę, uruchom polecenie gpupdate / force.
8. Otwórz przystawkę lusrmgr.msc na dowolnym komputerze i sprawdź członków lokalnej grupy administratorów. Do grupy należy dodawać tylko mskWKSAdmins, wszyscy pozostali użytkownicy i grupy zostaną usunięte. Listę lokalnych administratorów można wyświetlić za pomocą polecenia Net Localgroup Administrators lub Net Localgroup Administrators - w rosyjskiej wersji systemu Windows. Jeśli zasada nie jest stosowana na kliencie, użyj polecenia gpresult do celów diagnostycznych. Upewnij się także, że komputer znajduje się w jednostce organizacyjnej, której dotyczą zasady, a także sprawdź zalecenia w artykule „Dlaczego zasady nie mają zastosowania w domenie AD?”.

Możesz skonfigurować dodatkowe (szczegółowe) warunki kierowania tej zasady na określone komputery przy użyciu filtrów GPO WMI lub Kierowanie na poziomie przedmiotu. W drugim przypadku przejdź do zakładki Wspólne i zaznacz opcję kierowania na poziomie przedmiotu. Kliknij przycisk Kierowanie. Tutaj możesz określić warunki, w których ta zasada będzie stosowana. Na przykład chcę, aby zasada dodawania grup administratorów była stosowana tylko na komputerach z systemem Windows 10, których nazwy NetBIOS / DNS nie zawierają adm. Możesz użyć warunków filtra..

Nie zaleca się dodawania indywidualnych kont użytkowników do tych zasad; lepiej jest używać grup zabezpieczeń domeny. W takim przypadku, aby przyznać uprawnienia administratorów kolejnym pracownikom tych. obsługa, wystarczy dodać go do grupy domen (nie trzeba edytować obiektu zasad grupy),

Zarządzanie lokalnymi administratorami za pośrednictwem grup z ograniczeniami

Zasady grup ograniczonych pozwalają także dodawać grupy domen / użytkowników do lokalnych grup zabezpieczeń na komputerach. Jest to starszy sposób nadawania uprawnień administratora lokalnego i jest obecnie rzadziej używany (metoda jest mniej elastyczna niż metoda z Preferencjami zasad grupy).

1. Przejdź do trybu edycji zasad;
2. Rozwiń sekcję Konfiguracja komputera -> Zasady -> Ustawienia zabezpieczeń -> Grupy z ograniczeniami (Konfiguracja komputera -> Zasady -> Ustawienia zabezpieczeń -> Grupy z ograniczeniami);
3. W menu kontekstowym wybierz Dodaj grupę;
4. W oknie, które zostanie otwarte, określ Administratorzy -> Ok;
5. W sekcji „Członkowie tej grupy”Kliknij Dodaj i określ grupę, którą chcesz dodać do lokalnych administratorów;
6. Zapisz zmiany, zastosuj zasady do komputerów użytkowników i sprawdź grupy lokalne Administratorzy. W grupie powinna pozostać tylko grupa wskazana w polityce..

Ta zasada zawsze (!) Usuwa wszystkich istniejących członków w lokalnej grupie administratorów (dodawanych ręcznie przez inne zasady lub skrypty). Jeśli na komputerze istnieje kilka zasad z ustawieniami grup ograniczonych, obowiązują tylko te ostatnie. Można obejść to ograniczenie, najpierw dodając grupę mskWKSAdmins do grup z ograniczeniami, a następnie włączając tę ​​grupę do administratorów.

Przyznawanie praw administratora na określonym komputerze

Czasami musisz nadać określone uprawnienia administratora na danym komputerze. Na przykład masz kilku programistów, którzy okresowo potrzebują podwyższonych uprawnień do testowania sterowników, debugowania i instalowania na swoich komputerach. Niepraktyczne jest dodawanie ich do grupy administratorów stacji roboczych na wszystkich komputerach.

Aby przyznać uprawnienia lok. admin na jednym konkretnym komputerze, możesz użyć takiego schematu.

Bezpośrednio w zasadzie AddLocalAdmins utworzonej wcześniej w sekcji preferencji (Konfiguracja komputera -> Preferencje -> Ustawienia panelu sterowania -> Lokalni użytkownicy i grupy) utwórz nowy wpis dla grupy Administratorzy z następującymi ustawieniami:

• Akcja: Aktualizacja
• Nazwa grupy: Administratorzy (wbudowane)
• Opis: „Dodawanie apivanov do loc. administratorzy na msk-ws24 ”
• Członkowie: Dodaj -> apivanov
• Tab Często -> Kierowanie określ regułę: „nazwa komputera NETBIOS to msk-ws24„ Tj. ta zasada będzie obowiązywać tylko na określonym tutaj komputerze.

Zwróć także uwagę na zastosowanie grup na komputerze - Zamów. Ustawienia grupy lokalnej są stosowane od góry do dołu (zaczynając od polisy z zamówienia 1).

Pierwsza zasada GPP (z ustawieniami „Usuń wszystkich członków” i „Usuń wszystkie grupy członków”, jak opisano powyżej) usuwa wszystkich użytkowników / grup z lokalnej grupy administratorów i dodaje określoną grupę domen. Następnie zostaną zastosowane dodatkowe zasady dla określonego komputera i dodadzą określonego użytkownika do administratorów. Aby zmienić aplikację członkostwa w grupie Administratorzy, użyj przycisków u góry konsoli edytora GPO.