Razmatranja o uporabi grupe lokalnih administratora u domeni Active Directory

Korištenjem pravila grupe domena možete dodati potrebne korisnike AD (ili grupe) u lokalnu administrativnu grupu na poslužiteljima ili radnim stanicama. Na ovaj način možete dodijeliti lokalna administratorska prava na računalima domena zaposlenicima tehničke podrške, HelpDesk usluzi, određenim korisnicima i drugim povlaštenim računima. U ovom ćemo članku pokazati koliko načina za upravljanje članovima lokalne grupe administratora na računalima domena putem GPO-a.

sadržaj:

  • Dodavanje korisnika u grupu lokalnih administratora putem postavki grupe
  • Upravljanje lokalnim administratorima putem ograničenih grupa
  • Dodjeljivanje prava administratora na određenom računalu

Razmatranja o uporabi grupe lokalnih administratora u domeni Active Directory

Kada dodate računalo u AD domenu u grupi administratori grupe se automatski dodaju Administratori domene, i grupa Korisnik domene dodano lokalnom Korisnici.

Najlakši način dodjele prava lokalnog administratora za određeno računalo je dodavanje korisnika ili grupe u sigurnosnu grupu lokalnih administratora putem lokalnog priključka lokalnih korisnika i grupa. - lusrmgr.msc). Međutim, ova je metoda vrlo neugodna ako postoji puno računala i s vremenom će u skupinama lokalnih administratora sigurno biti dodatnih osobnosti. tj s ovom metodom dodjele prava nezgodno je kontrolirati sastav grupe lokalnih administratora.

Microsoft Classic Security Best Practices preporučuje korištenje sljedećih grupa za odvajanje administratora u domeni:

  • Administratori domene - administratori domena koriste se samo na kontrolerima domena; Sa stajališta sigurnosti privilegiranih administracijskih računa ne preporučuje se svakodnevno obavljanje administrativnih zadataka radnih stanica i poslužitelja pod računom s administratorskim pravima domene. Takve račune treba koristiti samo za zadatke administracije AD (dodavanje novih kontrolera domene, upravljanje replikacijom, izmjene sheme itd.). Većina zadataka upravljanja domenom, računarom i korisnikom može se prenijeti na redovne administracijske račune. Ne koristite račune iz grupe domena za prijavu na bilo koje radne stanice i poslužitelje kromiranih kontrolera domena.
  • Administratori poslužitelja - grupa za daljinsko prijavljivanje na poslužitelje članova domene. Ne bi trebao biti član grupe domena i ne smije biti uključen u skupinu lokalnih administratora na radnim stanicama;
  • Administratori radne stanice - Grupa samo za administraciju računala. Ne smije biti uključen ili sadržavati grupe domena i administratore poslužitelja;
  • Korisnici domene - redovni korisnički računi za tipične uredske operacije. Ne smije imati administratorska prava na poslužiteljima ili radnim stanicama.
Također, možete potpuno odbiti pružanje administrativnih prava za korisnike domena i grupe. U ovom slučaju, za izvršavanje administrativnih zadataka na računalima koristite ugrađeni lokalni administrator s lozinkom pohranjenom u AD (implementiranom pomoću LAPS-a).

Pretpostavimo da moramo pružiti grupi tehničke podrške i HelpDesk zaposlenika s lokalnim administrativnim pravima na računalima u određenom OU-u. Stvorite novu sigurnosnu grupu u domeni pomoću PowerShell-a i dodajte mu račune tehničke podrške:

Nova-ADGroup "mskWKSAdmins" -path "OU = Grupe, OU = Moskva, DC = winitpro, DC = ru" -GroupScope Global -PassThru

Add-AdGroupMember - Identitet mskWKSAdmins -Members user1, user2, user3

Otvorite konzolu za uređivanje pravila grupe domena (GPMC.msc), kreirajte novo pravilo AddLocaAdmins i dodijelite je OU-u s računalima (u mom primjeru to je 'OU = Računala, OU = Moskva, dc = winitpro, DC = ru').

Pravila grupe AD imaju dvije metode za upravljanje lokalnim grupama na računalima domena. Razmotrite ih zauzvrat:

  • Grupe s ograničenjem
  • Upravljanje lokalnim grupama putem postavki grupe

Dodavanje korisnika u grupu lokalnih administratora putem postavki grupe

Postavke grupnih pravila pružaju najfleksibilniji i najpovoljniji način dodjele lokalnih administrativnih prava na računalima domene putem GPO-ova..

  1. Otvorite pravila AddLocaAdmins kreirana ranije u načinu uređivanja;
  2. Idite na odjeljak GPO: Konfiguracija računala -> Postavke -> Postavke upravljačke ploče -> Lokalni korisnici i grupe;
  3. Desnim klikom kliknite na desni prozor i dodajte novo pravilo (novi -> Lokalna grupa);
  4. U polju Akcija odaberite ažuriranje (ovo je važna opcija!);
  5. Na padajućem popisu Naziv grupe odaberite Administratori (ugrađeni). Čak i ako je ta grupa preimenovana na računalu, postavke će se primijeniti na lokalnu grupu administratora po njenom SID - S-1-5-32-544;
  6. Pritisnite gumb dodati i odredite grupe koje želite dodati u skupinu lokalnih administratora (u našem slučaju to je mskWKSAdmins) Ako želite ukloniti ručno dodane korisnike i grupe iz trenutne lokalne skupine na računalu, potvrdite opciju "Izbriši sve članove korisnika„A”Izbrišite sve grupe članova”. U većini slučajeva to je preporučljivo, jer Jamčite da će na svim računalima samo dodijeljena grupa domena imati administratorska prava. Ako ručno dodate korisnika u grupu administratora na računalu, sljedeći put kada primijenite to pravilo, ono će se automatski izbrisati.
  7. Spremite pravilo i pričekajte da se primijeni na klijente. Da biste odmah primijenili pravilo, pokrenite naredbu gpupdate / force.
  8. Otvorite priključak lusrmgr.msc na bilo kojem računalu i provjerite članove lokalne grupe Administratori. U skupinu treba dodati samo mskWKSAdmins, svi ostali korisnici i grupe bit će izbrisani. Popis lokalnih administratora može se prikazati pomoću naredbe neto administratori lokalnih grupa ili neto administratori lokalnih grupa - u ruskoj verziji Windowsa. Ako se pravilo ne primijeni na klijentu, upotrijebite naredbu gpresult za dijagnostiku. Također provjerite da li je računalo u OU-u na koje je usmjereno pravilo, a također provjerite preporuke u članku "Zašto se pravila ne primjenjuju u AD domeni?".

Možete konfigurirati dodatne (detaljne) uvjete za ciljanje ovog pravila na određena računala pomoću WMI GPO filtera ili Ciljanje na razini predmeta. U drugom slučaju, idite na karticu Common i provjerite mogućnost ciljanja na razini predmeta. Kliknite na gumb Ciljanje. Ovdje možete odrediti uvjete kada će se ovo pravilo primjenjivati. Na primjer, želim da se pravilo dodavanja administrativnih grupa primjenjuje samo na računala sa sustavom Windows 10 čija NetBIOS / DNS imena ne sadrže ADM. Možete koristiti uvjete filtra..

U ovo se pravilo ne preporučuje dodavanje pojedinačnih korisničkih računa, bolje je koristiti sigurnosne grupe domena. U ovom slučaju, dodijeliti prava administratora sljedećem zaposleniku. podrška, samo je morate dodati u grupu domena (ne morate uređivati ​​GPO),

Upravljanje lokalnim administratorima putem ograničenih grupa

Pravilo ograničene grupe također vam omogućuje dodavanje grupa domena / korisnika u lokalne sigurnosne grupe na računalima. Ovo je stariji način davanja prava lokalnog administratora i sada se rjeđe koristi (metoda je manje fleksibilna od metode s postavkama grupne politike).

  1. Prebacite se na način uređivanja pravila;
  2. Proširite odjeljak Konfiguracija računala -> Politike -> Sigurnosne postavke -> Ograničene grupe (Konfiguracija računala -> Politike -> Sigurnosne postavke -> Ograničene grupe);
  3. U kontekstnom izborniku odaberite Dodajte grupu;
  4. U prozoru koji se otvori navedite administratori -> Ok;
  5. U odjeljku "Članovi ove grupe„press dodati i odredite grupu koju želite dodati lokalnim administratorima;
  6. Spremite promjene, primijenite pravila na računala korisnika i provjerite lokalne grupe administratori. U njemu bi trebala ostati samo skupina navedena u pravilima..
Ovo pravilo uvijek (!) Briše sve postojeće članove u grupi lokalnih administratora (ručno ih dodaju druga pravila ili skripte). Ako na računalu postoji nekoliko pravila s postavkama ograničenih grupa, primjenjuje se samo ovo posljednje. To ograničenje možete zaobići tako što prvo dodate mskWKSAdmins grupu u grupe s ograničenjima, a zatim tu grupu uključite u Administrator.

Dodjeljivanje prava administratora na određenom računalu

Ponekad morate na određenom računalu dati određena korisnička prava administratora. Na primjer, imate nekoliko programera koji povremeno trebaju povišene privilegije za testiranje upravljačkih programa, uklanjanje pogrešaka i instaliranje na svoja računala. Nepraktično ih je dodavati grupi administratora radnih stanica na svim računalima.

Za dodjelu prava lok. Administrator na jednom određenom računalu, možete koristiti takvu shemu.

Pravo u pravilima AddLocalAdmins kreiranim ranije u odjeljku s preferencijama (Konfiguracija računala -> Postavke -> Postavke upravljačke ploče -> Lokalni korisnici i grupe) stvorite novi unos za grupu Administratori sa sljedećim postavkama:

  • akcija: Ažuriraj
  • Naziv grupe: Administratori (ugrađeno)
  • opis: „Dodavanje apivanova lokalu. administratori na msk-ws24 ”
  • članovi: Dodaj -> apivanov
  • kartica zajednička -> Ciljanje odredite pravilo: "Ime računala NETBIOS je MSK-ws24”. tj ovo će se pravilo primjenjivati ​​samo na ovdje navedenom računalu.

Također obratite pozornost na primjenu grupa na računalu - red. Postavke lokalne grupe primjenjuju se odozgo (odozdo) (počevši od pravila iz Reda 1).

Prvo GPP pravilo (s postavkama "Izbriši sve članske korisnike" i "Izbriši sve grupe članova" kao što je opisano gore) uklanja sve korisnike / grupe iz lokalne administratorske grupe i dodaje navedenu skupinu domena. Tada će se primijeniti dodatno pravilo za određeno računalo i navedenog korisnika dodati će administratorima. Ako trebate promijeniti aplikaciju za članstvo u grupi Administratori, koristite gumbe pri vrhu konzole GPO uređivača.

Kategorija