Úvahy o používaní skupiny Local Administrators v doméne Active Directory

Pomocou politík skupín domén môžete pridať potrebných používateľov služby AD (alebo skupiny) do skupiny miestnych správcov na serveroch alebo pracovných staniciach. Týmto spôsobom môžete zamestnancom technickej podpory, službe HelpDesk, určitým používateľom a iným privilegovaným účtom udeliť práva miestneho administrátora na doménových počítačoch. V tomto článku vám ukážeme, ako mnoho spôsobov spravovať členov skupiny miestnych správcov na počítačoch domény prostredníctvom GPO.

obsah:

  • Pridanie používateľov do skupiny miestnych administrátorov prostredníctvom predvolieb skupinovej politiky
  • Správa miestnych správcov prostredníctvom obmedzených skupín
  • Udelenie práv správcu na konkrétnom počítači

Úvahy o používaní skupiny Local Administrators v doméne Active Directory

Keď pridáte počítač do domény AD v skupine administrátori skupiny sa automaticky pridajú Správcovia domén, a skupina Používateľ domény pridané do miestnej užívatelia.

Najjednoduchší spôsob, ako udeliť práva miestneho správcu konkrétnemu počítaču, je pridať používateľa alebo skupinu do miestnej skupiny zabezpečenia Administrators prostredníctvom miestneho modulu „Lokálni používatelia a skupiny“. - lusrmgr.msc). Táto metóda je však veľmi nevhodná, ak existuje veľa počítačov a v priebehu času v skupinách miestnych správcov určite budú ďalšie osobnosti. tj pri tomto spôsobe udeľovania práv nie je vhodné kontrolovať zloženie skupiny miestnych správcov.

Microsoft Classic Security Best Practices odporúča použitie nasledujúcich skupín na oddelenie správcov v doméne:

  • Správcovia domén - správcovia domén sa používajú iba na radičoch domén; z hľadiska bezpečnosti privilegovaných správcovských účtov sa neodporúča vykonávať každodenné úlohy správy pracovných staníc a serverov pod účtom s právami správcu domény. Takéto účty by sa mali používať iba na úlohy správy AD (pridávanie nových radičov domény, správa replikácie, zmena schémy atď.). Väčšinu úloh správy domén, počítačov a používateľov je možné delegovať na bežné účty správcu. Nepoužívajte účty zo skupiny Domain Admins na prihlásenie sa na žiadne pracovné stanice a servery radičov domény chrome.
  • Správcovia servera - skupina pre vzdialené prihlásenie na členské servery domény. Nemal by byť členom skupiny Domain Admins a nemal by byť zahrnutý do skupiny miestnych správcov na pracovných staniciach;
  • Správcovia pracovných staníc - Skupina len pre správu počítača. Nesmú byť zahrnuté ani obsahovať skupiny Domain Admins a Server Admins;
  • Používatelia domény - bežné užívateľské účty pre bežné kancelárske operácie. Na serveroch alebo pracovných staniciach nemusia mať práva správcu.
Môžete tiež úplne odmietnuť poskytnúť administrátorské práva používateľom domény a skupinám. V takom prípade na vykonávanie administratívnych úloh na počítačoch použite zabudovaného miestneho správcu s heslom uloženým v službe AD (implementované pomocou protokolu LAPS)..

Predpokladajme, že potrebujeme poskytnúť skupinu technickej podpory a zamestnancov HelpDesk miestnym administrátorským právam na počítače v konkrétnom OU. Vytvorte novú skupinu zabezpečenia v doméne pomocou PowerShell a pridajte do nej účty technickej podpory:

New-ADGroup "mskWKSAdmins" - cesta 'OU = Skupiny, OU = Moskva, DC = winitpro, DC = ru' -GroupScope Global -PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

Otvorte konzolu na úpravu politiky skupiny domén (GPMC.msc), vytvorte novú politiku AddLocaAdmins a priradiť ju OU pomocou počítačov (v mojom príklade je to „OU = Počítače, OU = Moskva, dc = winitpro, DC = ru“)..

Zásady skupiny AD majú dve metódy na správu miestnych skupín v počítačoch domény. Zvážte ich postupne:

  • Skupiny s obmedzeným prístupom
  • Správa miestnych skupín prostredníctvom predvolieb skupinovej politiky

Pridanie používateľov do skupiny miestnych administrátorov prostredníctvom predvolieb skupinovej politiky

Predvoľby skupinovej politiky (GPP) poskytujú najflexibilnejší a najpohodlnejší spôsob, ako udeľovať práva miestneho správcu na doménových počítačoch prostredníctvom GPO.

  1. Otvorte politiku AddLocaAdmins vytvorenú skôr v režime úprav;
  2. Prejdite do sekcie GPO: Konfigurácia počítača -> Predvoľby -> Nastavenia ovládacieho panela -> Lokálni používatelia a skupiny;
  3. Pravým tlačidlom myši kliknite na pravé okno a pridajte nové pravidlo (nový -> Miestna skupina);
  4. V poli Akcia vyberte položku aktualizovať (toto je dôležitá možnosť!);
  5. V rozbaľovacom zozname Názov skupiny vyberte možnosť Správcovia (vstavaný). Aj keď bola táto skupina v počítači premenovaná, nastavenia sa použijú na skupinu miestnych administrátorov pomocou jej SID - S-1-5-32-544;
  6. Stlačte tlačidlo pridať a zadajte skupiny, ktoré chcete pridať do skupiny miestnych administrátorov (v našom prípade je to mskWKSAdmins) Ak chcete odstrániť manuálne pridaných používateľov a skupiny z aktuálnej miestnej skupiny v počítači, začiarknite políčko „Odstrániť všetkých používateľov"A"Odstrániť všetky členské skupiny". Vo väčšine prípadov je to vhodné, pretože Zaručujete, že na všetkých počítačoch budú mať práva správcu iba priradená skupina domén. Ak teraz ručne pridáte používateľa do skupiny správcov v počítači, pri nasledujúcom použití politiky bude automaticky odstránená.
  7. Uložte politiku a počkajte, kým sa aplikuje na klientov. Ak chcete politiku uplatniť okamžite, spustite príkaz gpupdate / force.
  8. Otvorte modul lusrmgr.msc na ľubovoľnom počítači a skontrolujte členov miestnej skupiny správcov. Do skupiny by mali byť pridané iba mskWKSAdmins, všetci ostatní používatelia a skupiny budú odstránení. Zoznam miestnych správcov je možné zobraziť pomocou príkazu správcovia miestnej skupiny alebo správcovia miestnej skupiny - v ruskej verzii systému Windows. Ak sa zásada na klienta neuplatňuje, na diagnostiku použite príkaz gpresult. Skontrolujte tiež, či je počítač v OU, na ktorý je politika zameraná, a tiež si pozrite odporúčania v článku „Prečo sa zásady neuplatňujú v doméne AD?“.

Môžete nakonfigurovať ďalšie (podrobné) podmienky na zacielenie tejto politiky na konkrétne počítače pomocou filtrov WMI GPO alebo Zacielenie na úrovni položky. V druhom prípade prejdite na kartu Spoločné a začiarknite možnosť Zacielenie na úrovni položky. Kliknite na tlačidlo zacielenia. Tu môžete určiť podmienky, kedy sa bude uplatňovať toto pravidlo. Napríklad chcem, aby sa zásada pridávania správcovských skupín uplatňovala iba na počítače so systémom Windows 10, ktorých názvy NetBIOS / DNS neobsahujú. adm. Môžete použiť podmienky filtra..

Neodporúča sa do tejto politiky pridávať jednotlivé používateľské účty, je lepšie používať skupiny zabezpečenia domény. V takom prípade udeliť práva správcu ďalšiemu zamestnancovi z nich. podporu, stačí ju pridať do skupiny domén (nemusíte upravovať GPO),

Správa miestnych správcov prostredníctvom obmedzených skupín

Politika obmedzených skupín vám tiež umožňuje pridávať skupiny domén / používateľov do miestnych skupín zabezpečenia v počítačoch. Toto je starší spôsob udeľovania práv miestneho správcu a v súčasnosti sa používa menej často (metóda je menej flexibilná ako metóda s predvoľbami skupinovej politiky)..

  1. Prepnúť do režimu úprav pravidiel;
  2. Rozviňte časť Konfigurácia počítača -> Zásady -> Nastavenia zabezpečenia -> Obmedzené skupiny (Konfigurácia počítača -> Zásady -> Nastavenia zabezpečenia -> Obmedzené skupiny);
  3. V kontextovej ponuke vyberte položku Pridať skupinu;
  4. V okne, ktoré sa otvorí, zadajte administrátori -> Ok;
  5. V časti „Členovia tejto skupiny"lis pridať a zadajte skupinu, ktorú chcete pridať k miestnym správcom;
  6. Uložte zmeny, aplikujte politiku na počítače používateľov a skontrolujte miestne skupiny administrátori. V skupine by mala zostať iba skupina uvedená v politike..
Toto pravidlo vždy (!) Odstráni všetkých existujúcich členov v skupine miestnych administrátorov (pridané ručne, inými politikami alebo skriptmi). Ak v počítači existuje niekoľko politík s nastaveniami obmedzených skupín, uplatňujú sa iba tie druhé. Toto obmedzenie sa môžete obísť tak, že najprv pridáte skupinu mskWKSAdmins do skupín s obmedzeným prístupom a potom túto skupinu zahrnete do správcov.

Udelenie práv správcu na konkrétnom počítači

Niekedy musíte na konkrétnom počítači udeliť práva administrátora konkrétneho používateľa. Napríklad máte niekoľko vývojárov, ktorí pravidelne potrebujú zvýšené oprávnenie na testovanie ovládačov, ladenie a inštaláciu do svojich počítačov. Je nepraktické ich pridávať do skupiny správcov pracovných staníc na všetkých počítačoch.

Udeliť práva lok. admin na jednom konkrétnom počítači, môžete použiť takúto schému.

Priamo v politike AddLocalAdmins vytvorenej skôr v časti Predvoľby (Konfigurácia počítača -> Predvoľby -> Nastavenia ovládacieho panela -> Miestni používatelia a skupiny) vytvorte nový záznam pre skupinu Administrators s nasledujúcimi nastaveniami:

  • akčné: Aktualizácia
  • Názov skupiny: Správcovia (vstavaný)
  • popis: „Pridanie apivanov do loc. administrátori na msk-ws24 ”
  • členovia: Pridať -> apivanov
  • pútko obyčajný -> zacielenia špecifikujte pravidlo: „názov počítača NETBIOS je MSK-ws24". tj toto pravidlo sa bude vzťahovať iba na počítač uvedený tu.

Venujte pozornosť aj aplikácii skupín na počítači - poriadok. Nastavenia miestnych skupín sa uplatňujú zhora nadol (začínajúc politikou od objednávky 1)..

Prvá politika GPP (s nastaveniami „Vymazať všetkých členských používateľov“ a „Vymazať všetky členské skupiny“, ako je opísané vyššie) odstráni všetkých používateľov / skupiny zo skupiny miestnych správcov a pridá zadanú skupinu domén. Potom sa na konkrétny počítač použije ďalšia politika a zadaného používateľa pridá do správcov. Ak potrebujete zmeniť aplikáciu členstva v skupine Administrators, použite tlačidlá v hornej časti konzoly editora GPO.

Kategórie