我正在尝试设置 AD 域,并且某些用户需要一些“权力”权限才能在自己的机器上安装软件(以及在自己的机器上仅有的)。
我正在考虑创建一个名为 Power Users 的用户组,添加我想要有资格的用户,但我不知道如何仅在他们自己的计算机上应用此功能。
当他们登录其他用户的计算机时,我不希望他们是本地管理员。
答案1
对于这种情况,我建议您实施免费的 Microsoft本地管理员密码解决方案 (LAPS)。
主要好处是可以管理 SID-500 本地管理员帐户(或您选择的其他本地帐户)的密码并将其与 Active Directory 同步。有人建议您部署策略以禁用 SID-500 帐户,并使用 GPO 首选项创建新的本地管理员用户并让 LAPS 管理该密码。
然后,您可以决定如何允许用户访问此密码。他们可以在需要时致电帮助台获取密码,或者您可以授予他们的用户帐户对其分配的 AD 计算机对象上的 LAPS 密码属性的读取权限。使用后者,您甚至可以编写一个小脚本来检索密码并为用户提升 shell。
您可能希望实施用户权限分配策略,以拒绝本地管理员帐户通过网络进行访问,以确保该权限不会在网络上被滥用。它确保本地管理员帐户只能在控制台上使用。您应该使用特权域帐户进行所有远程管理。关于 LAPS 帐户使用的审计和变更控制还有另外的讨论,但 LAPS 似乎是授予本地管理员访问权限并自动安全地更新密码的最安全方式。
答案2
我找到了在域网络上实现此配置的最简单的替代方法。
- 正如您所说,您可以创建高级用户组,并将这些用户分配到该组。
- 您可以通过在 AD 用户属性 -> 帐户 -> 登录到 -> 单击以下计算机 -> 下分配特定计算机名称来分配用户登录限制,然后键入最终用户计算机名称。请参阅所附屏幕截图。https://i.stack.imgur.com/QrRa2.jpg
