ドメイン管理者に似たアカウントを作成しようとしていますが、ドメインコントローラーにアクセスできません。つまり、このアカウントには、ドメイン内のすべてのクライアントマシンに対する完全な管理者権限があり、ドメインにマシンを追加できますが、サーバーに対するユーザー権限は限られています。
このアカウントは、エンドユーザーの技術サポートのような役割の人が使用します。ドライバー、アプリケーションなどをインストールするために、クライアントマシンへのフルアクセスが必要ですが、サーバーにはそれらは必要ありません。
私はおそらくポリシーを介して自分で何かを投げることができますが、おそらく面倒ですので、私は尋ねる必要があると考えました:これについて適切な方法は何ですか?
回答:
リモートオフィスでこれと同様のことを行います。最初に、ドメイン内のpsuedo-adminsのグループを作成します。ADでは、管理が必要なOUに制御を委任します(アカウントの作成/削除、または単にパスワードのリセット、またはまったくなし)。
次に、グループポリシーを使用して、Computer \ Windows Settings \ Security Settings \ Restricted Groupsを使用して、ワークステーションとサーバーのローカル管理者グループにグループを追加します。ドメインコントローラーOUまたはサーバーを含むOUにこのポリシーを展開しないでください。
これは明らかに、クライアントシステムをサーバーから分離する方法で構成されたADに依存しています。
UACが標準機能であるActive Directory環境に進むと、それも考慮する必要があります。
デフォルトでは、ローカル管理者アカウントとDomain Adminsのメンバーのみが自動昇格を取得し、これは多くのことで必要になります(リモート管理共有への接続は1つです。明らかに、MSMQとNLBの設定に関する問題です。新しいグループをローカルのAdministratorsアカウントに配置するだけでは不十分な場合があります。
これを回避するには、[ユーザーアカウント制御:管理者承認モードの管理者に対する昇格時のプロンプトの動作]セキュリティポリシーを[ローカルポリシー]、[ローカルセキュリティ設定]で変更し、値を[プロンプトなし ]に設定する必要があります。将来、Microsoftがこれをより的を絞った方法で実現することを期待しています(または、必要な承認プロンプトがAWOLになるエッジケースを修正します)。
これを試して。これは私がこれまでに見つけた最も簡単な方法です:http : //technet.microsoft.com/en-us/library/cc756087(v = WS.10).aspx基本的に、ADの「COMPUTERS」フォルダーを右クリックします[デリゲートコントロール]を選択します。ウィザードに従ってください。すべてのサーバーバージョンで動作します。
アクセス許可グループを設定し、必要なコンピューターでそのグループのメンバーを管理できるようにし、そのグループにあるものを完全に制御できるようにします。
とても簡単です。Active Directoryは、実際にそのような問題のために作られています。新しいグループフォルダを作成し、プロパティのセキュリティ設定を変更するだけです。