我的任务是重新配置我们当前的本地和管理员帐户设置。目前,我们有一个域帐户,用于我们需要做的大部分域管理工作(主要是 UAC 提示),Linux sudo 权限、RDP 权限、SQL 管理员权限等被委托给单独的安全组,这些安全组与我们日常使用的用户域帐户绑定。我们大多数人还在计算机生成时设置了本地定义的管理员帐户。我们想清理这个问题,并确定了以下设置:
每个用户都有两个帐户:一个用于日常工作的一般用户帐户,以及一个专门用于本地计算机(该计算机在 AD 中定义)和 Windows 服务器 OU 中定义的任何服务器的 UAC 提示的管理员帐户。
在研究这个问题时,我发现两种似乎是标准做法的方法
定义本地管理员域安全组,然后为本地管理员的受限组创建组策略,并添加域组。添加的任何帐户都是本地管理员。
为机器类型定义本地管理安全组(一个用于 Windows 服务器,一个用于 SQL 服务器,等等),并在创建组策略时通过本地用户和组 GPO 配置指定允许帐户访问哪些机器(此处又称为目标)。
在最小化开销的同时,哪种设置更受欢迎?我对第一种方法有一些反对意见,因为内置组管理员有域管理员作为成员,而这些新的管理员帐户不能是域管理员。第二种方法将允许很多粒度,但理论上这需要创建一个新的 GPO,指定用户是他们自己机器的本地用户,以及任何所需的安全组。
答案1
对于本地管理员,我会研究 Microsoft 的 LAPS。“本地管理员密码解决方案”(LAPS) 提供对加入域的计算机的本地帐户密码的管理。密码存储在 Active Directory (AD) 中并受 ACL 保护,因此只有符合条件的用户才能读取或请求重置密码。
对于其余的问题,我的方法是:
- 调查您需要拥有哪种“域管理员组”。例如 Exchange 管理员、office365 管理员或 Linux 管理员。
- 您可以让 LAPS 管理本地管理员,当您需要本地管理员访问权限时,您可以从 AD 或 Azure AD 中检索密码,然后您需要在具有管理员权限的本地计算机上添加域组。
- 或者您可以创建具有本地组的域组,该本地组被添加到每个设备上的本地管理员组。
答案2
对于本地 AD 设置,受限组方法效果很好,多年来,我已多次将其用于客户安装。它提供了一种简单的解决方案,允许特定 AD 用户帐户对域中的特定计算机具有管理员访问权限(您显然可以通过 GPO 控制),同时不允许他们对服务器具有任何管理员访问权限。
“我对第一种方法有一些反对意见,因为内置组管理员有域管理员作为成员,而这些新的管理员帐户不能是域管理员。”
我怀疑,无论谁基于这一点向你提出反驳,他要么感到困惑,要么根本不知道自己在说什么。
如果您有组 A 和 B,并将它们添加为组 C 的成员,那么 A 和 B 现在可以访问已授予 C 的任何内容。但 A 也无法访问已授予 B 的任何内容。这大致就是他们的建议。要做到这一点,您还需要将 A 添加为 B 的成员,只有这样 A 才能访问 B 有权访问的内容(以及 C)。