我正在创build一个类似于域pipe理员的帐户,但没有访问域控制器。 换句话说,该帐户将具有对域中的任何客户端计算机的完全pipe理员权限,能够将计算机添加到域,但只具有有限的服务器用户权限。
这个帐号将被一个人用在最终用户技术支持类angular色中。 他们应该可以完全访问客户机来安装驱动程序,应用程序等等,但我不希望他们在服务器上。
虽然我可以通过政策把自己的东西扔在一起,但是这可能会很麻烦,所以我想我应该问一下:有什么合适的方法可以解决这个问题?
我们在远程办公室做类似的事情。 首先,为域中的psuedo-admins创build一个组。 在AD中,将控制委派给OU,他们可能需要pipe理(创build/删除帐户,或者可能只是重置密码,或者根本没有)。
然后使用组策略将您的组添加到工作站和服务器上的本地pipe理员组,使用计算机\ Windows设置\安全设置\限制组 。 不要将此策略部署到域控制器OU或包含您的服务器的OU。
这显然取决于具有以将客户端系统与服务器分开的方式configuration的AD。
当我们进入到UAC是标准function的Active Directory环境中时,您也必须考虑到这一点。
默认情况下,只有本地pipe理员帐户和域pipe理员的成员得到自动提升,这是很多事情需要(连接到远程pipe理共享是一个,显然是configurationMSMQ和NLB也是一个问题,我敢肯定还有其他)简单地将一个新组放入本地pipe理员帐户可能是不够的。
为了解决这个问题,你必须修改本地策略,本地安全设置下的“用户帐户控制:pipe理员批准模式下pipe理员的提升提示的行为”安全策略,并将该值设置为“无提示” 。 希望微软在未来能够提出一个更有针对性的做法(或者修复所需的批准提示变为AWOL的边缘案例)。
尝试这个。 这是迄今为止我find的最简单的方法: http : //technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx本质上,右键单击AD中的“计算机”文件夹并select“委托控制”。 按照向导。 适用于所有服务器版本。
设置一个权限组,让你希望他的计算机能够pipe理该组的成员,并让他完全控制该组中的东西。
非常简单 活动目录实际上是为了这样的问题。 只需创build一个新的组文件夹,并更改属性下的安全设置。