Kebijakan Grup: Hak Administrator untuk Pengguna Tertentu pada Komputer Tertentu

11

Saya seorang programmer terjebak mencoba untuk mengelola pengaturan Active Directory untuk sebuah perusahaan kecil. Pengontrol Domain menjalankan Windows Small Business Server 2008.

Kami memiliki staf pekerja lapangan yang menggunakan tablet PC; masalah konfigurasi dengan bloatware ThinkVantage tablet akan mengharuskan pengguna ini untuk memiliki Administrator saat menggunakan tablet. Tidak apa-apa - ini berguna bagi mereka untuk memiliki hak istimewa yang luas ketika saya memandu mereka melalui perbaikan melalui telepon, jadi saya tidak mencari pekerjaan di sekitar sana.

Saya ingin menggunakan Kebijakan Grup untuk menyiapkan skenario berikut: Pengguna dalam grup keamanan tertentu (atau unit organisasi) harus berada dalam grup BUILTIN / Administrator ketika login ke komputer di grup keamanan tertentu (atau unit organisasi). Tidak apa-apa jika komputer harus dalam OU, tapi saya lebih suka untuk menetapkan pengguna berdasarkan grup.

Tentu saja, pekerja lapangan tidak boleh menjadi Administrator di stasiun kerja lain, dan staf kantor vanila tidak boleh menjadi Admin di tablet.

Saat ini, ini dikelola secara lokal di setiap tablet, tetapi karena kami menambah karyawan baru, ini menjadi lebih merepotkan.

Saya merasa seperti Grup Terbatas adalah jawabannya di sini, tetapi tanpa landasan yang kuat dalam konsep dan metode AD, saya mengalami kesulitan mewujudkannya.

Apa teknik yang tepat untuk tugas ini, dan bagaimana saya akan menerapkannya?

security active-directory permissions group-policy WCWedin
sumber

Jawaban:

13

Buat grup untuk merangkum pengguna (Admin-Lokal-Tablet) dan menambahkannya ke grup ini

Buat sub-OU dari workstation saat ini OU dan letakkan tablet di sini (Workstations \ Tablets)

Buat GPO (Kebijakan-Admin-Tablet-Lokal) dan menautkannya ke Workstation \ Tablet OU

Di GPO, atur hal berikut:

  • Comp Config - Kebijakan - Pengaturan Windows - Pengaturan Keamanan - Grup Terbatas
  • Klik kanan, Tambah Grup
  • "Administrator", OK
  • Anggota Grup ini: myDomain \ Local-Admin-Tablet

Nyalakan kembali PC, dan lakukan.

Ingatlah bahwa pengaturan Grup Terbatas akan menimpa daftar Administrator yang ada di mesin. Jika sudah ada pengguna / grup lain di sana, Anda harus menambahkannya ke kebijakan ini juga. Contoh lain adalah myDomain \ Domain Admin, dll

EDIT: Oh, dan ubah pemfilteran pada GPO dan tambahkan Domain Computers . Cara termudah untuk melakukan ini adalah menggunakan snapin MMC Manajemen Kebijakan Grup (Anda bisa mendapatkannya dari Alat Administrasi Server Jarak Jauh dari Microsoft)

Izzy
sumber
5
+1. Grup Terbatas adalah solusinya di sini. Gpupdate / force pada workstation sudah cukup untuk perubahan yang berlaku, meniadakan kebutuhan untuk reboot.
joeqwerty
Jika tablet berada di lapangan , biasanya lebih mudah untuk membuat pengguna reboot daripada menjelaskan "buka cmd, ketik gpupdate / force / boot" dll :)
Izzy
1
Menggunakan Preferensi Kebijakan Grup ( technet.microsoft.com/en-us/library/cc731892%28WS.10%29.aspx ) Anda dapat memperbarui grup lokal tanpa menimpa apa pun.
Zoredache
1
Nah, itu berhasil! Hanya dua pertanyaan: Saya berpendapat bahwa itu akan sepenuhnya meledakkan semua anggota grup Admin saat ini, termasuk pengguna lokal, benar? Itu bisa menjadi kejutan yang tidak menyenangkan. Saya berasumsi bahwa akun Administrator default tidak akan terpengaruh oleh ini; Apakah itu lancang saya?
WCWedin
1
Saya tidak pernah menguji itu, saya selalu baru saja menambahkan Builtin \ Administrators ke grup terbatas itu. Belt and braces :)
Izzy
12

Jawaban Izzy baik-baik saja jika Anda tidak peduli bahwa grup Administrator secara efektif akan dikunci dari perubahan di masa mendatang dari mesin lokal. Ini juga akan menghapus semua grup yang sudah menjadi anggota grup Administrator sebelum pengaturan kebijakan diterapkan.

Namun, Anda dapat menggunakan pengaturan kebijakan yang sama dengan cara yang sedikit berbeda untuk mem-bypass gangguan tersebut (dengan asumsi Anda bahkan menganggapnya sebagai gangguan).

  • Buat struktur OU / Grup dengan cara yang sama seperti sebelumnya
  • Saat Anda berada di bagian Grup Terbatas pada objek kebijakan grup, Tambah Grup, tetapi alih-alih menentukan Administrator , tentukan YOURDOMAIN \ Local-Admin-Tablet .
  • Di bagian "Grup ini adalah anggota" , klik Tambahkan dan masukkan Administrator

Ini perbedaan yang halus tetapi penting dalam cara kedua bagian bekerja. Anggota grup ini secara efektif menjadi "Grup A hanya akan berisi Grup X, Y, dan Z". Grup ini adalah anggota yang bekerja secara efektif untuk menjadi "Pastikan Grup A adalah anggota Grup X, Y, dan Z".

Setelah menetapkan kebijakan dengan Anggota grup ini , satu-satunya hal yang dapat mengubah keanggotaan grup adalah objek kebijakan utama yang juga menggunakan Anggota grup ini atau kebijakan lain yang menggunakan Grup ini .

Ryan Bolger
sumber
2

Sepertinya semua yang perlu Anda lakukan adalah membuat kebijakan grup yang menambahkan Domain Group ke grup administrator lokal. Ini cukup mudah dicapai dengan skrip startup sederhana atau dengan Preferensi Kebijakan Grup .

Skrip startup sederhana untuk menambahkan anggota grup.

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")
Sakit kepala
sumber
Dengan asumsi dia menggunakan W2K8, yang tidak bisa saya katakan berdasarkan pertanyaannya.
joeqwerty
Preferensi Sisi Klien didukung pada domain 2003r2. Saya hanya tidak memiliki tautan artikel 2003r2 berguna.
Zoredache
Mengedit pertanyaan untuk menambahkan OS. GPP sepertinya cocok untuk skenario ini, karena pengguna tidak mungkin memodifikasi grup mereka sesudahnya, menjadikan sifat sementara sebagai titik diperdebatkan. Yang mengatakan, menyebarkan prasyarat untuk setiap mesin klien tampak seperti sakit kepala besar.
WCWedin
1
Itulah mengapa melakukan ini dengan skrip startup yang sederhana juga merupakan pilihan yang sederhana. Saya menemukan preferensi berguna untuk banyak hal lain juga. Mungkin layak untuk menginstalnya untuk hal-hal lain yang dapat Anda capai di masa depan.
Zoredache
1

Satu-satunya masalah dengan solusi yang terdaftar adalah bahwa ia memberikan hak admin lokal ke semua mesin di mana kebijakan itu berlaku. Biasanya Anda ingin memberikan hak admin hanya untuk mesin tertentu. Yang saya amati adalah ketika seorang pengguna menyadari bahwa mereka memiliki hak admin lokal mereka menginstal perangkat lunak untuk semua teman mereka.

Ada beberapa cara berbeda untuk melakukan ini, tetapi saya mungkin menyarankan satu saja. Jadi selesaikan langkah-langkah seperti di atas tetapi juga buat grup untuk setiap komputer di mana pengguna membutuhkan hak tambahan. Masing-masing "Grup Komputer" ini ditambahkan ke grup myDomain \ Local-Admin.

Pengguna kemudian ditambahkan ke grup yang sesuai dengan mesin yang mereka butuhkan aksesnya.

Jadi mereka adalah admin tetapi hanya mesin itu.

Yakub
sumber
0

Anda mengatakan menambahkan karyawan baru adalah hal yang merepotkan, tetapi bukankah seharusnya menambahkan tablet baru yang akan merepotkan?

Saya akan melakukan sesuatu seperti ini:

Memiliki grup keamanan domain yang berisi semua pengguna yang harus menjadi administrator di PC tablet (mis. Administrator Tablet).

Di setiap tablet, tambahkan grup itu ke grup Administrator.

Apakah ini teknik yang tepat atau tidak, saya tidak tahu. Itu hanya ide pertama yang datang kepada saya tentang bagaimana menerapkan.

Barrett Jacobsen
sumber
2
Seharusnya tidak ditambahkan secara manual ke setiap mesin. Inilah tujuan Kebijakan Grup
Izzy
1
Saat menyiapkan tablet baru, saya harus menambahkan menambahkan 15 pengguna ke satu tablet. Saat menambahkan karyawan baru, saya harus menambahkan satu pengguna ke 20 tablet. Keduanya merepotkan, tetapi mekanisme berjalan dari mesin ke mesin membuat proses terakhir menjadi membosankan dan lambat. Pendekatan Anda akan meringankan itu secara substansial, meskipun itu tidak terlalu elegan.
WCWedin
1
Beri +1 pada suara ini untuk mengembalikannya sedikit. Ini mungkin bukan solusi terbaik tetapi ini adalah solusi yang valid. Orang tidak boleh memilih untuk mengusulkan solusi yang valid hanya karena itu bukan solusi yang disukai. Satu-satunya hal yang hilang dari solusi ini adalah penggunaan Grup Terbatas untuk mengotomatiskan proses penambahan grup ke grup Admin Lokal. Saya katakan +1 untuk upaya dan untuk berkontribusi pada jawabannya.
joeqwerty
0

Saya menulis skrip yang dijalankan sebagai kebijakan komputer dengan hak administratif di workstation lokal. Ini memeriksa Deskripsi pengguna yang terakhir kali masuk dalam AD yang dapat diatur oleh Admin Domain dari "Pengguna direktori aktif dan Komputer", jika berisi nama workstation, skrip menambahkan pengguna ke grup admin lokal, jika nama workstation tidak ada dalam Deskripsi pengguna, itu menghapus pengguna dari grup admin lokal. Deskripsi dapat menyertakan lebih dari satu nama komputer, seperti ini:

Deskripsi pengguna: "Admin Lokal di WKST-E445R dan WKST-VM398"

Jadi untuk menjadikan seseorang admin lokal hanya dengan satu mesin, saya hanya perlu menambahkan nama komputer ini ke Deskripsi pengguna dalam AD dan meminta pengguna untuk reboot , dan menghapus nama komputer menghilangkan hak admin lokal.

Bukankah itu solusi paling rapi yang pernah ada? :-)

Ini skripnya:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end
Hehe
sumber