समूह नीति: विशिष्ट कंप्यूटर पर विशिष्ट उपयोगकर्ताओं के लिए प्रशासक अधिकार

मैं एक प्रोग्रामर हूं जो एक छोटी सी कंपनी के लिए एक्टिव डायरेक्ट्री सेटअप को संचालित करने की कोशिश कर रहा है। डोमेन नियंत्रक Windows लघु व्यवसाय सर्वर 2008 चला रहा है।

हमारे पास टेबलेट पीसी का उपयोग करने वाले क्षेत्र के कर्मचारियों का एक कर्मचारी है; टेबलेट के थिंक वैंटेज ब्लोटवेयर के साथ कॉन्फ़िगरेशन समस्याओं के लिए इन उपयोगकर्ताओं को टेबलेट का उपयोग करते समय प्रशासक का अधिकार होना आवश्यक है। यह ठीक है - यह उनके लिए व्यापक विशेषाधिकार होने के लिए उपयोगी है जब मैं उन्हें फोन पर एक फिक्स के माध्यम से चल रहा हूं, इसलिए मैं एक काम की तलाश में नहीं हूं।

मैं निम्नलिखित परिदृश्य सेट करने के लिए समूह नीति का उपयोग करना चाहूंगा: किसी विशेष सुरक्षा समूह (या संगठन इकाई) में उपयोगकर्ता एक निश्चित सुरक्षा समूह (या संगठन इकाई) में कंप्यूटर में लॉग इन करते समय BUILTIN / प्रशासक समूह में होना चाहिए। यह ठीक है अगर कंप्यूटरों को एक ओयू में होना है, लेकिन मैं उपयोगकर्ताओं को समूह द्वारा आवंटित करना पसंद करूंगा।

बेशक, फील्ड वर्कर्स को अन्य वर्कस्टेशनों पर प्रशासक नहीं होना चाहिए, और वैनिला ऑफिस स्टाफ को टैबलेट पर एडमीन नहीं होना चाहिए।

वर्तमान में, इसे प्रत्येक टैबलेट पर स्थानीय रूप से प्रबंधित किया जा रहा है, लेकिन जैसे ही हम नए हायर जोड़ते हैं, यह परेशानी का सबब बनता जा रहा है।

मुझे लगता है कि प्रतिबंधित समूह यहां जवाब है, लेकिन ईडी अवधारणाओं और तरीकों में ठोस आधार के बिना, मैं एक कठिन समय बना रहा हूं।

इस कार्य के लिए उचित तकनीक क्या है, और मैं इसे कैसे लागू करूंगा?

उपयोगकर्ताओं (स्थानीय-प्रवेश-टैबलेट) को इनकैप्सुलेट करने के लिए एक समूह बनाएं और उन्हें इस समूह में जोड़ें

वर्तमान कार्यस्थानों OU का उप-OU बनाएँ और गोलियाँ यहाँ (Workstations \ Tablets) में डालें

एक GPO (स्थानीय-प्रवेश-टैबलेट-नीति) बनाएं और इसे वर्कस्टेशंस के टैबलेट OU से लिंक करें

GPO में, निम्नलिखित सेट करें:

• COMP विन्यास - नीतियाँ - विंडोज सेटिंग्स - सुरक्षा सेटिंग्स - प्रतिबंधित समूह
• राइट क्लिक करें, समूह जोड़ें
• "प्रशासक", ठीक है
• इस समूह के सदस्य: myDomain \ Local-Admins-Tablets

पीसी को रिबूट करें, और किया।

ध्यान रखें कि प्रतिबंधित समूह स्थापित करने से स्थानीय प्रशासकों की मौजूदा सूची मशीनों को अधिलेखित कर दी जाएगी। यदि आपके पास पहले से ही अन्य उपयोगकर्ता / समूह हैं, तो आपको उन्हें इस नीति में भी जोड़ना होगा। अन्य उदाहरण myDomain \ Domain Admins आदि होंगे

संपादित करें: ओह, और GPO पर फ़िल्टरिंग बदलें और डोमेन कंप्यूटर जोड़ें । ऐसा करने का सबसे आसान तरीका समूह नीति प्रबंधन MMC स्नैपइन का उपयोग करना है (आप इसे Microsoft से दूरस्थ सर्वर व्यवस्थापन उपकरण से प्राप्त कर सकते हैं )

इज़ी का जवाब ठीक है अगर आपको परवाह नहीं है कि प्रशासक समूह प्रभावी रूप से स्थानीय मशीन से भविष्य के परिवर्तनों से बाहर हो जाएगा। यह उन सभी समूहों को भी मिटा देगा जो पॉलिसी सेटिंग लागू होने से पहले ही प्रशासक समूह के सदस्य थे।

हालाँकि, आप एक ही पॉलिसी सेटिंग का उपयोग उन झुंझलाहटों को दरकिनार करने के लिए थोड़े अलग तरीके से कर सकते हैं (यह मानते हुए कि आप उन्हें झुंझलाहट भी मानते हैं)।

• पहले की तरह ही OU / Group स्ट्रक्चर बनाएं
• जब आप समूह नीति ऑब्जेक्ट के प्रतिबंधित समूह अनुभाग में हों, तो समूह जोड़ें, लेकिन व्यवस्थापक निर्दिष्ट करने के बजाय , YourDOMAIN \ Local-Admins-Tablets निर्दिष्ट करें ।
• में "यह समूह का एक सदस्य है" अनुभाग में, जोड़ें और enter क्लिक करें व्यवस्थापकों

यह दो वर्गों के काम करने के तरीके में एक सूक्ष्म लेकिन महत्वपूर्ण अंतर है। इस समूह के सदस्य प्रभावी रूप से "ग्रुप ए में केवल ग्रुप एक्स, वाई, और जेड" होंगे। यह समूह प्रभावी रूप से कार्य करने वाला सदस्य है "समूह X, Y, और Z का सदस्य सुनिश्चित करें"।

एक बार जब आप इस समूह के सदस्यों के साथ नीति सेट कर लेते हैं , तो केवल एक चीज जो समूह की सदस्यता को संशोधित कर सकती है, एक ओवरराइडिंग पॉलिसी ऑब्जेक्ट है जो इस समूह के सदस्यों या किसी अन्य नीति का उपयोग करता है जो इस समूह का उपयोग करता है ।

ऐसा लगता है कि आपको वास्तव में एक समूह नीति बनाने की आवश्यकता है जो एक डोमेन समूह को स्थानीय प्रशासक समूह में जोड़ता है। यह एक सरल स्टार्टअप स्क्रिप्ट या समूह नीति प्राथमिकता के साथ पूरा करने के लिए बहुत आसानी से है ।

समूह के सदस्यों को जोड़ने के लिए सरल स्टार्टअप स्क्रिप्ट।

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")

सूचीबद्ध समाधान के साथ एकमात्र समस्या यह है कि यह उन सभी मशीनों के लिए स्थानीय व्यवस्थापक अधिकारों को अनुदान देता है जहां वह नीति लागू होती है। आमतौर पर आप केवल एक विशिष्ट मशीन के लिए व्यवस्थापक अधिकार देना चाहेंगे। मैंने जो देखा है, जब एक उपयोगकर्ता को पता चलता है कि उनके पास स्थानीय व्यवस्थापक अधिकार हैं, तो वे अपने सभी साथियों के लिए सॉफ़्टवेयर इंस्टॉल करते हैं।

ऐसे कई तरीके हैं जिनसे आप यह कर सकते हैं लेकिन मैं सिर्फ एक सुझाव दे सकता हूं। इसलिए उपरोक्त चरणों को पूरा करें लेकिन प्रत्येक कंप्यूटर के लिए एक समूह भी बनाएं जहां उपयोगकर्ताओं को अतिरिक्त अधिकारों की आवश्यकता हो। इनमें से प्रत्येक "कंप्यूटर समूह" को myDomain \ Local-Admins समूह में जोड़ा जाता है।

उपयोगकर्ताओं को उस समूह में जोड़ा जाता है जो उस मशीन से मेल खाती है जिसकी उन्हें आवश्यकता है।

तो वे एक व्यवस्थापक हैं, लेकिन केवल उस मशीन के।

आप कहते हैं कि नई हायर जोड़ना एक परेशानी है, लेकिन क्या इसमें नई गोलियाँ नहीं जोड़ी जानी चाहिए जो एक परेशानी होगी?

मैं इन लाइनों के साथ कुछ कर रहा हूँ:

एक डोमेन सुरक्षा समूह है जिसमें सभी उपयोगकर्ता हैं जो टेबलेट पीसी (यानी टेबलेट एडिडायटर) पर प्रशासक होना चाहिए।

प्रत्येक टेबलेट पर, उस समूह को व्यवस्थापक समूह में जोड़ें।

यह उचित तकनीक है या नहीं, मुझे नहीं पता। यह सिर्फ पहला विचार है जो मुझे लागू करने के तरीके पर आता है।

मैंने एक स्क्रिप्ट लिखी, जो स्थानीय कार्य केंद्र पर प्रशासनिक अधिकारों के साथ एक कंप्यूटर नीति के रूप में चलती है। यह AD में उपयोगकर्ता के विवरण पर अंतिम लॉग इन की जांच करता है, जिसे एक डोमेन एडमिन "एक्टिव डायरेक्टरी यूजर्स एंड कम्प्यूटर्स" से सेट कर सकता है, यदि इसमें वर्कस्टेशन का नाम है, तो स्क्रिप्ट यूजर को लोकल एडमिन ग्रुप में जोड़ती है, अगर वर्कस्टेशन का नाम इसमें नहीं है। उपयोगकर्ता का विवरण, यह उपयोगकर्ता को स्थानीय व्यवस्थापक समूह से हटा देता है। विवरण में एक से अधिक कंप्यूटर नाम शामिल हो सकते हैं, जैसे:

उपयोगकर्ता का विवरण: "WKST-E445R और WKST-VM398 पर स्थानीय व्यवस्थापक"

तो किसी को केवल एक मशीन पर स्थानीय व्यवस्थापक बनाने के लिए, मुझे बस इस कंप्यूटर का नाम AD में उपयोगकर्ता के विवरण में जोड़ना होगा और उपयोगकर्ता को रिबूट करने के लिए कहना होगा , और कंप्यूटर का नाम हटाने से स्थानीय व्यवस्थापक अधिकार हटा दिए जाएंगे।

है कि सबसे साफ समाधान कभी नहीं? :-)

यहाँ स्क्रिप्ट है:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end