Windows Server 2016 Active Directory:仅向特定计算机的用户授予管理员权限

Windows Server 2016 Active Directory:仅向特定计算机的用户授予管理员权限

我已将本地管理员权限授予请求/需要此访问权限的活动目录用户的多台计算机。我不想将管理员权限授予整个域和服务器,而是只授予特定终端。

我在网上找到了一篇关于使用组策略管理和组策略管理编辑器授予特定机器本地管理员权限的帖子。(见下文)

https://support.dincloud.com/portal/en/kb/articles/how-to-make-a-domain-user-the-local-administrator-for-all-pcs

我创建了一个 OU(即包含域中的所有计算机),并在其中包含我想要授予此用户管理员访问权限的计算机。

我应用了自定义本地管理员 GPO,并将其链接到“所有计算机”OU 内的特定计算机 OU。这似乎已成功授予此用户对这些特定计算机的本地管理员权限...

我的问题是,如果我想在另一个时间授予其他人对特定计算机 OU 内的 2-3 台计算机的管理员访问权限,该怎么办?

有没有更简单的方法?我尝试了一个安全组(添加了特定的计算机),并尝试以此作为授予管理员访问权限的方法,但无法弄清楚。

请让我知道你在想什么。

谢谢你!

答案1

我不知道这是否更简单,您来判断吧。运行 PowerShell 脚本枚举 AD 中的所有计算机,并为每台计算机创建一个组。如果您想疯狂一点,可以为任何角色创建组。示例:

您的组织.计算机.
计算机名称.管理员 您的组织.计算机.计算机名称.远程桌面用户
您的组织.计算机.计算机名称
.用户等等。

然后,您运行一个脚本,将每台计算机连接到广告组,根据主机名和本地组名,您可以“猜测”所需的广告组名称。瞧,您已将管理转移到 AD。凭借一些技巧,您可以在两三个小时内制作“注册所有计算机脚本”。

通过使用这些元素,您可以制作一个“注册单台计算机”脚本,创建组、连接到远程计算机并附加它们。

您还可以考虑从计算机中删除域管理员和域用户,以增强每台客户端计算机的安全性和隐私性。

审计访问现在变得超级简单。
授予访问权限是集中的。

答案2

您可以对 GPO 设置权限。

标准权限授予任何经过身份验证的用户(包括计算机帐户)“应用组策略”的权利;因此它适用于其范围内的任何用户或计算机(GPO 链接到的 OU)。

您可以更改这些权限以仅允许将 GPO 应用于特定组;这将允许您管理受该 GPO 影响的人员/内容,而不管其位于哪个 OU。

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/assign-security-group-filters-to-the-gpo

相关内容