Bod*_*den 14 security active-directory
我希望创建一个类似于域管理员的帐户,但无法访问域控制器。换句话说,此帐户将拥有域中任何客户端计算机的完全管理员权限,能够将计算机添加到域中,但对服务器仅具有有限的用户权限。
此帐户将由担任最终用户技术支持类角色的人员使用。他们应该可以完全访问客户端机器以安装驱动程序、应用程序等......但我不希望它们在服务器上。
虽然我可以通过政策自己将一些东西放在一起,但它可能会很混乱,所以我想我应该问:解决这个问题的正确方法是什么?
Dou*_*xem 15
我们在远程办公室做类似的事情。首先,为域中的伪管理员创建一个组。在 AD 中,将控制权委托给他们可能需要管理的 OU(创建/删除帐户,或者可能只是重置密码,或者什么都不做)。
然后使用组策略使用Computer\Windows Settings\Security Settings\Restricted Groups将您的组添加到工作站和服务器上的本地管理员组。不要将此策略部署到域控制器 OU 或包含您的服务器的 OU。
这显然取决于以将客户端系统与服务器分离的方式配置 AD。
| 归档时间: |
|
| 查看次数: |
62381 次 |
| 最近记录: |