WCW*_*din 12 security permissions active-directory group-policy
我是一名程序员,试图为一家小公司管理 Active Directory 设置。域控制器正在运行 Windows Small Business Server 2008。
我们有使用平板电脑的现场工作人员;平板电脑的 ThinkVantage 膨胀软件的配置问题将要求这些用户在使用平板电脑时具有管理员权限。没关系 - 当我通过电话引导他们完成修复时,他们拥有广泛的特权很有用,所以我不是在那里寻找解决方法。
我想使用组策略来设置以下场景: 特定安全组(或组织单元)中的用户在登录到某个安全组(或组织单元)中的计算机时应该在 BUILTIN/Administrators 组中。如果计算机必须在 OU 中也没关系,但我更喜欢按组分配用户。
当然,现场工作人员不应该是其他工作站上的管理员,普通办公室人员不应该是平板电脑上的管理员。
目前,这是在每个平板电脑上本地管理的,但是随着我们增加新员工,这变得越来越麻烦。
我觉得 Restricted Groups 是这里的答案,但没有 AD 概念和方法的坚实基础,我很难实现它。
这项任务的正确技术是什么,我将如何实施它?
Izz*_*zzy 13
创建一个组来封装用户(Local-Admins-Tablets)并将他们添加到这个组中
创建当前工作站 OU 的子 OU 并将平板电脑放在此处 (Workstations\Tablets)
创建 GPO(Local-Admins-Tablets-Policy)并将其链接到 Workstations\Tablets OU
在 GPO 中,设置以下内容:
重启电脑,大功告成。
请记住,设置受限组将覆盖本地管理员的计算机现有列表。如果您已经有其他用户/组,您也需要将它们添加到此策略中。其他示例是myDomain\Domain Admins等
编辑:哦,更改 GPO 上的过滤并添加Domain Computers。最简单的方法是使用组策略管理 MMC 管理单元(您可以从 Microsoft的远程服务器管理工具中获取)
Rya*_*ger 13
如果您不关心管理员组是否会被有效地锁定在本地计算机的未来更改之外,那么 Izzy 的回答很好。这还将清除在应用策略设置之前已经是 Administrators 组成员的所有组。
但是,您可以以稍微不同的方式使用相同的策略设置来绕过这些烦恼(假设您甚至认为它们是烦恼)。
这是两个部分工作方式的一个微妙但重要的区别。 该组的成员实际上是“A 组将只包含 X、Y 和 Z 组”。该组是“确保 A 组是 X、Y 和 Z组的成员”的有效成员。
一旦您为此组的成员设置了策略,唯一可以修改组成员身份的是覆盖策略对象,该对象也使用此组的成员或使用此组是成员的任何其他策略。
| 归档时间: |
|
| 查看次数: |
23865 次 |
| 最近记录: |