我必须为一组初级系统管理员提供对域控制器的有限访问权限,以便进行有限的 Active Directory 用户和组管理(即用户创建、密码重置等)。我已经实施了委派来限制初级系统管理员可以在 Active Directory 上执行的任务范围。其中一些用户使用 macOS,因此使用远程服务器管理工具(如在 Windows 计算机上使用的工具)对他们来说不是一种选择。
因此,我想授予他们 RDP 访问域控制器的权限。我希望他们能够打开 Active Directory 用户和计算机(无需提示输入管理员凭据),但尽可能限制他们对系统其余部分的访问。注意:我可能需要授予他们访问其他一些项目的权限,以履行其他相关工作职责。
- 实现这一目标的最佳方法是什么?
- 如果通过组策略实施限制是最佳方法,那么构建能够实现我所述目标的策略的最有效方法是什么?
答案1
我相信我能够通过配置组合来实现预期的结果。
- 为“有限的 AD 管理员”创建 OU
- 在上述 OU 中创建第一个用户帐户
- 在我的“公司用户”OU 上,我委托用户帐户访问以下功能:创建、删除、管理用户帐户、重置密码、阅读所有用户信息。
- 在我的“公司组”OU 上,我委托用户帐户访问以下功能:修改组的成员资格。
- 在域控制器上,在本地安全策略 > 用户权限管理 > 允许通过远程桌面服务登录:添加了用户帐户。
- 将用户添加到“备份操作员”内置组。这提供了足够的权限来打开 Active Directory 用户和计算机。
- 创建了一个 GPO 并将其链接到“有限 AD 管理员”OU,并具有以下限制:
仅运行指定的 Windows 应用程序:dsa.msc、mmc.exe
阻止访问命令提示符
阻止访问注册表编辑工具
删除并阻止访问关机、重启、睡眠和休眠命令
答案2
看起来你的主要问题是安全地授予用户对 Active Directory 用户和计算机工具的访问权限,该工具位于域控制器上(和仅有的在域控制器上)在您尝试运行它时请求 UAC 提升。我认为这是 Windows 中的一个错误或意外功能,显然是由于“Windows 2000 之前的兼容访问别名”域本地组的成员身份导致登录期间出现分割令牌。
因此,一个可能的解决方案是更改该组的成员身份,但我不确定这样做的副作用是什么。因此,我建议禁用 UAC 提升正如这个答案所述,即通过为相关用户设置环境__compat_layer变量RunAsInvoker。
mmc.exe这会导致 Windows 忽略配置为在用户具有分割令牌时请求提升的事实,并且仅在没有任何提升的权限的情况下运行它。
请注意,变量名以两个下划线开头,而不仅仅是一个。
编辑:通过组策略设置环境变量不起作用;似乎对以下划线开头的环境变量名称有某种特殊处理。您需要一个应用程序或脚本来为您设置它。
或者您可以关闭 UAC,但我不确定这样做会产生什么副作用。