我想创建一个类似于域管理员的帐户,但没有域控制器的访问权限。换句话说,此帐户将对域中的任何客户端计算机拥有完全管理员权限,能够将计算机添加到域中,但对服务器仅具有有限的用户权限。
此帐户将由担任最终用户技术支持角色的人员使用。他们应该拥有对客户端计算机的完全访问权限,以便安装驱动程序、应用程序等...但我不希望他们在服务器上。
虽然我可以通过政策自己把一些东西拼凑起来,但可能会很混乱,所以我想我应该问:恰当的怎么办呢?
答案1
我们在远程办公室也做了类似的事情。首先,为域中的伪管理员创建一个组。在 AD 中,将控制权委托给他们可能需要管理的 OU(创建/删除帐户,或者可能只是重置密码,或者什么都不做)。
然后使用组策略将您的组添加到工作站和服务器上的本地管理员组计算机\Windows 设置\安全设置\受限组. 请勿将此策略部署到域控制器 OU 或包含您的服务器的 OU。
这显然取决于以某种方式配置 AD,以将客户端系统与服务器分离。
答案2
当我们进入 UAC 作为标准功能的 Active Directory 环境时,您也必须考虑到这一点。
默认情况下,只有本地管理员帐户和域管理员成员才能自动提升权限,而这对于许多事情都是必要的(连接到远程管理共享就是其中之一,显然这也是配置 MSMQ 和 NLB 的问题,我相信还有其他问题),简单地将一个新组放入本地管理员帐户可能还不够。
为了解决这个问题,你必须修改“用户帐户控制:管理员批准模式下管理员的提升权限提示行为”本地策略、本地安全设置下的安全策略,并将值设置为“无提示”。希望微软将来能想出更有针对性的方式来实现这一目标(或者修复所需批准提示消失的边缘情况)。
答案3
试试这个。这是我迄今为止发现的最简单的方法: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx 本质上,右键单击 AD 中的“COMPUTERS”文件夹并选择“委派控制”。按照向导操作。适用于所有服务器版本。
答案4
设置一个权限组,使您希望他能够管理的计算机成为该组的成员,并授予他对该组中事物的完全控制权。
非常简单。Active Directory 实际上是为解决此类问题而设计的。只需创建一个新的组文件夹,然后更改属性下的安全设置即可。