Důležité informace o použití skupiny Local Administrators v doméně služby Active Directory

Pomocí zásad skupiny domén můžete přidat potřebné uživatele (nebo skupiny) AD do skupiny místních správců na serverech nebo pracovních stanicích. Tímto způsobem můžete zaměstnancům technické podpory, službě HelpDesk, určitým uživatelům a dalším privilegovaným účtům udělit práva místního správce v doménových počítačích. V tomto článku ukážeme, kolik způsobů správy členů místní skupiny správců v počítačích domény prostřednictvím GPO.

Obsah:

  • Přidání uživatelů do skupiny Local Administrators pomocí předvoleb Zásady skupiny
  • Správa místních správců prostřednictvím skupin s omezeným přístupem
  • Udělení práv správce na konkrétním počítači

Důležité informace o použití skupiny Local Administrators v doméně služby Active Directory

Když přidáte počítač do domény AD ve skupině Administrátoři skupiny jsou automaticky přidány Správci domén, a skupina Uživatel domény přidán k místním Uživatelé.

Nejjednodušší způsob, jak udělit práva místního správce konkrétnímu počítači, je přidat uživatele nebo skupinu do místní skupiny zabezpečení Administrators prostřednictvím místního modulu snap-in „Místní uživatelé a skupiny“ - lusrmgr.msc) Tato metoda je však velmi nepohodlná, pokud existuje spousta počítačů a v průběhu času ve skupinách místních správců budou určitě další osobnosti. I.e. s tímto způsobem udělování práv je nevhodné kontrolovat složení skupiny místních správců.

Doporučené postupy zabezpečení Microsoft Classic Security doporučují k oddělení správců v doméně použít následující skupiny:

  • Správci domén - Správci domény se používají pouze v řadičích domény; z hlediska zabezpečení privilegovaných účtů správce se nedoporučuje provádět každodenní úlohy správy pracovních stanic a serverů pod účtem s právy správce domény. Tyto účty by měly být použity pouze pro úkoly správy AD (přidání nových řadičů domény, správa replikace, modifikace schématu atd.). Většina úkolů správy domény, počítače a uživatelů může být delegována na běžné účty správce. Nepoužívejte účty ze skupiny Domain Admins k přihlášení k pracovním stanicím a serverům řadičů domény chrome.
  • Správci serveru - skupina pro vzdálené přihlášení k členským serverům domény. Neměl by být členem skupiny Domain Admins a neměl by být zařazen do skupiny místních správců na pracovních stanicích;
  • Správci pracovních stanic - Skupina pouze pro správu počítače. Nesmí být zahrnuta ani obsahovat skupiny Domain Admins a Server Admins;
  • Uživatelé domény - běžné uživatelské účty pro běžné kancelářské operace. Na serverech nebo pracovních stanicích nemusí být administrátorská práva.
Můžete také zcela odmítnout poskytnout administrátorská práva uživatelům domény a skupinám. V takovém případě použijte k provedení administrativních úkolů na počítačích vestavěný místní správce s heslem uloženým v AD (implementováno pomocí LAPS).

Předpokládejme, že potřebujeme poskytnout skupinu technické podpory a zaměstnanců HelpDesk místním správcovským právům na počítače v konkrétní OU. Vytvořte novou skupinu zabezpečení v doméně pomocí prostředí PowerShell a přidejte do ní účty technické podpory:

New-ADGroup "mskWKSAdmins" - cesta 'OU = Skupiny, OU = Moskva, DC = winitpro, DC = ru' -GroupScope Global -PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

Otevřete konzolu pro úpravy zásad skupiny domén (GPMC.msc), vytvořte novou zásadu AddLocaAdmins a přiřaďte jej OU pomocí počítačů (v mém příkladu je to 'OU = Počítače, OU = Moskva, dc = winitpro, DC = ru').

Zásady skupiny AD mají dvě metody pro správu místních skupin v počítačích domény. Zvažte je postupně:

  • Skupiny s omezeným přístupem
  • Správa místních skupin pomocí předvoleb Zásady skupiny

Přidání uživatelů do skupiny Local Administrators pomocí předvoleb Zásady skupiny

Předvolby skupinových zásad (GPP) poskytují nejflexibilnější a nejpohodlnější způsob, jak udělit místní administrátorská práva na doménových počítačích prostřednictvím GPO.

  1. Otevřete zásady AddLocaAdmins vytvořené dříve v režimu úprav;
  2. Přejít do sekce GPO: Konfigurace počítače -> Předvolby -> Nastavení ovládacího panelu -> Místní uživatelé a skupiny;
  3. Klikněte pravým tlačítkem na pravé okno a přidejte nové pravidlo (Nové -> Místní skupina);
  4. V poli Akce vyberte Aktualizace (to je důležitá možnost!);
  5. V rozevíracím seznamu Název skupiny vyberte možnost Správci (vestavěný). I když byla tato skupina v počítači přejmenována, nastavení bude aplikováno na skupinu místních správců pomocí SID - S-1-5-32-544;
  6. Stiskněte tlačítko Přidat a určete skupiny, které chcete přidat do skupiny místních administrátorů (v našem případě je to mskWKSAdmins). Pokud chcete odebrat ručně přidané uživatele a skupiny z aktuální místní skupiny v počítači, zaškrtněte políčko „Odstranit všechny členské uživatele„A„Odstranit všechny členské skupiny" Ve většině případů je to vhodné, protože Zaručujete, že na všech počítačích budou mít práva administrátora pouze přiřazená skupina domén. Pokud nyní ručně přidáte uživatele do skupiny administrátorů v počítači, bude při příštím použití zásady automaticky odstraněn.
  7. Uložte zásadu a počkejte, až bude použita pro klienty. Chcete-li zásadu použít okamžitě, spusťte příkaz gpupdate / force.
  8. Otevřete modul lusrmgr.msc na jakémkoli počítači a zkontrolujte členy místní skupiny administrátorů. Do skupiny by měli být přidáni pouze mskWKSAdmins, budou vymazáni všichni ostatní uživatelé a skupiny. Seznam místních administrátorů lze zobrazit pomocí příkazu správci místní skupiny nebo správci místní skupiny - v ruské verzi Windows. Pokud zásada není použita na klienta, použijte diagnostiku pomocí příkazu gpresult. Také se ujistěte, že počítač je v OU, na který je politika zaměřena, a také zkontrolujte doporučení v článku „Proč se zásady nepoužijí v doméně AD?“.

Můžete nakonfigurovat další (granulární) podmínky pro cílení této zásady na konkrétní počítače pomocí filtrů WMI GPO nebo Cílení na úrovni položky. V druhém případě přejděte na kartu Společné a zaškrtněte možnost cílení na úrovni položky. Klikněte na tlačítko Cílení. Zde můžete určit podmínky, za kterých bude tato zásada použita. Chci například použít zásadu přidávání skupin správců pouze pro počítače se systémem Windows 10, jejichž názvy NetBIOS / DNS neobsahují adm. Můžete použít podmínky filtru..

Nedoporučuje se do této zásady přidávat jednotlivé uživatelské účty, je lepší používat skupiny zabezpečení domény. V takovém případě udělit práva správce dalšímu zaměstnanci. podporu, stačí ji přidat do skupiny domén (nemusíte upravovat GPO),

Správa místních správců prostřednictvím skupin s omezeným přístupem

Zásady s omezenými skupinami také umožňují přidávat skupiny / uživatele domén do místních skupin zabezpečení v počítačích. Jedná se o starší způsob udělování práv místního správce a nyní se méně běžně používá (metoda je méně flexibilní než metoda s předvolbami zásad skupiny).

  1. Přepnout do režimu úprav zásad;
  2. Rozbalte sekci Konfigurace počítače -> Zásady -> Nastavení zabezpečení -> Omezené skupiny (Konfigurace počítače -> Zásady -> Nastavení zabezpečení -> Omezené skupiny);
  3. V kontextové nabídce vyberte Přidat skupinu;
  4. V okně, které se otevře, zadejte Administrátoři -> Ok;
  5. V sekci „Členové této skupiny”Klikněte Přidat a určete skupinu, kterou chcete přidat k místním správcům;
  6. Uložte změny, aplikujte zásady na počítače uživatelů a zkontrolujte místní skupiny Administrátoři. V ní by měla zůstat pouze skupina uvedená v zásadě..
Tato zásada vždy (!) Odstraní všechny stávající členy ve skupině místních správců (přidané ručně, jinými zásadami nebo skripty). Pokud v počítači existuje několik zásad s nastavením omezených skupin, platí pouze ta druhá. Toto omezení můžete obejít tak, že nejprve přidáte skupinu mskWKSAdmins do skupin s omezeným přístupem a poté tuto skupinu zahrnete do skupiny Administrators..

Udělení práv správce na konkrétním počítači

Někdy musíte určitému uživateli udělit práva administrátora na konkrétním počítači. Například máte několik vývojářů, kteří pravidelně potřebují zvýšená oprávnění pro testování ovladačů, ladění a instalaci na svých počítačích. Je nepraktické je přidávat do skupiny správců pracovních stanic na všech počítačích.

Pro udělení práv lok. admin na jednom konkrétním počítači, můžete použít takové schéma.

Přímo v zásadě AddLocalAdmins vytvořené dříve v sekci předvoleb (Konfigurace počítače -> Předvolby -> Nastavení ovládacího panelu -> Místní uživatelé a skupiny) vytvořte novou položku pro skupinu Administrators s následujícím nastavením:

  • Akce: Aktualizace
  • Název skupiny: Správci (vestavěný)
  • Popis: „Přidání apivanov do loc. administrátoři na msk-ws24 ”
  • Členové: Přidat -> apivanov
  • Tab Běžné -> Cílení zadejte pravidlo: „název počítače NETBIOS je msk-ws24" I.e. tato zásada se bude vztahovat pouze na zde určený počítač.

Také věnujte pozornost aplikaci skupin na počítači - Objednávka. Nastavení místní skupiny se provádí shora dolů (počínaje zásadou z objednávky 1).

První zásada GPP (s nastavením „Odstranit všechny členské uživatele“ a „Odstranit všechny členské skupiny“, jak je popsáno výše) odebere všechny uživatele / skupiny ze skupiny místních správců a přidá zadanou skupinu domén. Poté bude pro konkrétní počítač použita další zásada a přidá zadaného uživatele ke správcům. Pokud potřebujete změnit aplikaci členství ve skupině Administrators, použijte tlačítka v horní části konzoly editoru GPO.