前任管理员在默认域策略中配置了受限组。在管理员的受限组中,他们添加了域管理员组以及名为本地管理员的域安全组。他们在本地管理员组中填充了大约 15 名用户,这些用户需要在自己的系统上拥有本地管理员访问权限。他们将其范围扩大到包含域中所有计算机对象的 OU。正如猜测的那样,预期结果是这些用户现在在所有主机上都拥有本地管理员访问权限。
我想重新设计一下,并寻求一些建议。目前,如果我授予用户在其自己的系统上的本地管理员访问权限;当 GPO 刷新时,受限制的组部分将删除他们的访问权限。出于明显的安全原因,我不希望他们在每台机器上都有访问权限。管理层意识到用户拥有本地管理员访问权限所带来的风险,并接受了这些风险(这些风险大多是内部开发人员)。
理想目标....开发一种方法,让域管理员可以访问所有系统,同时能够为少数用户分配本地管理员权限,使其只访问他们自己的系统,而不访问其他任何人的系统。我不确定我是否可以仅使用受限组或通过多个 GPO 的混合来实现这一点。我完全愿意听取已经实施此方法的人提出的任何其他想法。
谢谢你!
答案1
您需要创建新的 OU。1. 将计算机帐户分组到新的 OU 中。2. 阻止新 OU 上的继承并且不强制执行默认域策略。3 创建默认域策略的副本并对其进行编辑,将所需帐户添加到用户权限分配中,然后将其链接到新的 OU。
我们有类似的要求“一小部分用户拥有他们自己的系统的本地管理权限,而其他任何人都没有”,这就是我们所做的。
否则,在活动目录中,用户和计算机会限制用户只能使用默认域策略登录到他们的计算机(主机名)。