ドメインコントローラーにアクセスできない制限付きの「ドメイン管理者」を作成するにはどうすればよいですか?
Domain Adminに似たアカウントを作成しようとしていますが、ドメインコントローラーにアクセスできません。つまり、このアカウントには、ドメイン内のすべてのクライアントマシンに対する完全な管理者権限があり、ドメインにマシンを追加できますが、サーバーに対するユーザー権限は制限されています。
このアカウントは、エンドユーザーのテクニカルサポートのような役割を持つ人が使用します。ドライバーやアプリケーションなどをインストールするために、クライアントマシンにフルアクセスできる必要がありますが、サーバーにインストールしたくありません。
私はおそらく自分でポリシーを使って何かを一緒に投げることができますが、それはおそらく乱雑になるので、私は質問する必要があると考えました:これについて行くproper方法は何ですか?
私たちはリモートオフィスでこれと同様のことを行います。最初に、ドメインにpsuedo-adminsのグループを作成します。 ADでは、管理が必要なOUに制御を委任します(アカウントの作成/削除、または単にパスワードのリセットのみ、または何もしない)。
次に、グループポリシーを使用して、コンピュータ\ Windows設定\セキュリティ設定\制限グループを使用して、ワークステーションおよびサーバーのローカル管理者グループにグループを追加します。このポリシーは、ドメインコントローラーOUまたはサーバーを含むOUに展開しないでください。
これは明らかに、クライアントシステムをサーバーから分離する方法でADを構成することに依存しています。
UACが標準機能であるActive Directory環境に進むときは、それも考慮する必要があります。
デフォルトでは、ローカル管理者アカウントとDomain Adminsのメンバーのみが自動的に昇格し、これは多くの場合に必要です(リモート管理共有への接続は1つです。MSMQとNLBの構成にも問題があるようです。他にもあると思います)。新しいグループをローカルのAdministratorsアカウントに配置するだけでは不十分な場合があります。
これを回避するには、 "ユーザーアカウント制御:管理者承認モードの管理者に対する昇格時のプロンプトの動作"を変更する必要があります。 = [ローカルポリシー]、[ローカルセキュリティ設定]のセキュリティポリシーで、値を "No Prompt"に設定します。うまくいけば、マイクロソフトは将来的にこれを行うためのよりターゲットを絞った方法を考え出すでしょう(または、必要な承認プロンプトがAWOLになるEdgeのケースを修正します)。
これを試して。これは、これまでに見つけた最も簡単な方法です。 http://technet.Microsoft.com/en-us/library/cc756087(v = WS.10).aspx 基本的に、右クリックADの「COMPUTERS」フォルダーに移動し、「Delegate Control」を選択します。ウィザードに従います。すべてのサーバーバージョンで動作します。
アクセス許可グループを設定し、そのグループのメンバーを管理できるようにしたいコンピューターを作成し、そのグループに含まれるものを完全に制御できるようにします。
かなり簡単です。 Active Directoryは、実際にはそのような問題のために作られています。新しいグループフォルダを作成し、プロパティでセキュリティ設定を変更するだけです。