एक सीमित "डोमेन व्यवस्थापक" कैसे बनाएं, जिसमें डोमेन नियंत्रकों तक पहुंच न हो?

14

मैं एक डोमेन व्यवस्थापक के समान खाता बनाना चाहता हूं, लेकिन डोमेन नियंत्रकों तक पहुंच के बिना। दूसरे शब्दों में, इस खाते में डोमेन के किसी भी ग्राहक मशीन के पूर्ण प्रशासक अधिकार होंगे, डोमेन में मशीनों को जोड़ने में सक्षम होंगे, लेकिन सर्वरों के लिए केवल उपयोगकर्ता अधिकार सीमित हैं।

इस खाते का उपयोग किसी व्यक्ति द्वारा एंड-यूज़र तकनीकी सहायता प्रकार की भूमिका में किया जाएगा। उनके पास ड्राइवरों, एप्लिकेशन आदि स्थापित करने के लिए क्लाइंट मशीनों तक पूरी पहुंच होनी चाहिए ... लेकिन मैं उन्हें सर्वर पर नहीं चाहता।

हालांकि मैं शायद नीति के माध्यम से अपने आप को एक साथ कुछ फेंक सकता हूं, यह शायद गन्दा होगा इसलिए मुझे लगा कि मुझे पूछना चाहिए: इसके बारे में जाने का उचित तरीका क्या है ?

security  active-directory 
Boden
स्रोत

जवाबों:

15

हम अपने दूरदराज के कार्यालयों में भी ऐसा ही करते हैं। सबसे पहले, डोमेन में psuedo-admins के लिए एक समूह बनाएं। AD में, OU के प्रतिनिधियों को नियंत्रित करने के लिए उन्हें प्रबंधित करने (खातों को हटाने / हटाने, या शायद बस रीसेट पासवर्ड, या कुछ भी नहीं) की आवश्यकता हो सकती है।

फिर कंप्यूटर \ Windows सेटिंग्स \ सुरक्षा सेटिंग्स \ प्रतिबंधित समूहों का उपयोग करके कार्यस्थानों और सर्वरों पर अपने समूह को स्थानीय व्यवस्थापकों के समूह में जोड़ने के लिए समूह नीति का उपयोग करें । इस नीति को डोमेन नियंत्रक OU या OU अपने सर्वर से परिनियोजित न करें।

यह स्पष्ट रूप से सर्वर से क्लाइंट सिस्टम को अलग करने के लिए AD को एक तरीके से कॉन्फ़िगर करने पर निर्भर करता है।

डग लक्सम
स्रोत
3

जैसे-जैसे हम सक्रिय निर्देशिका वातावरण में आगे बढ़ते हैं, जहां यूएसी एक मानक विशेषता है, आपको उस खाते को भी ध्यान में रखना होगा।

डिफ़ॉल्ट रूप से केवल स्थानीय व्यवस्थापक खाते और डोमेन एडमिन के सदस्यों को स्वचालित ऊंचाई मिलती है और इसके लिए कई चीजों की आवश्यकता होती है (दूरस्थ व्यवस्थापक शेयरों से कनेक्ट करना एक है, जाहिर है यह MSMQ और NLB को कॉन्फ़िगर करने के साथ एक समस्या है, मुझे यकीन है कि अन्य हैं) बस स्थानीय प्रशासकों के खाते में एक नया समूह रखना पर्याप्त नहीं हो सकता है।

इसके आस-पास जाने के लिए आपको "उपयोगकर्ता खाता नियंत्रण: व्यवस्थापकीय स्वीकृति मोड में व्यवस्थापकों के लिए उन्नयन संकेत का व्यवहार" को संशोधित करना होगा स्थानीय नीतियों, स्थानीय सुरक्षा सेटिंग्स के तहत सुरक्षा नीति और "नहीं प्रॉम्प्ट" के लिए मान सेट करें । उम्मीद है कि माइक्रोसॉफ्ट भविष्य में ऐसा करने का अधिक लक्षित तरीका लेकर आएगा (या उन मामलों को ठीक करेगा जहां आवश्यक अनुमोदन शीघ्र AWOL हो जाता है)।

Helvick
स्रोत
2

इसे इस्तेमाल करे। यह अब तक का सबसे आसान तरीका है: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx अनिवार्य रूप से, AD में 'COMPUTERS' फ़ोल्डर पर राइट-क्लिक करें और 'डेलिगेट कंट्रोल' चुनें। जादूगर का पालन करें। सभी सर्वर संस्करणों में काम करता है।

एलन
स्रोत
0

एक अनुमतियाँ समूह सेट करें, आप जो कंप्यूटर चाहते हैं, उसे उस समूह के सदस्यों को प्रबंधित करने में सक्षम बनाने के लिए, और उसे उस समूह में मौजूद चीज़ों पर पूर्ण नियंत्रण देने में सक्षम बनाएं।

बहुत सीधा। सक्रिय निर्देशिका वास्तव में इस तरह के मुद्दे के लिए बनाई गई है। बस एक नया समूह फ़ोल्डर बनाएँ, और गुणों के तहत सुरक्षा सेटिंग्स बदलें।

SatanicPuppy
स्रोत
वह इस समूह के सदस्यों को डोमेन से वर्कस्टेशन जोड़ने और हटाने की क्षमता कैसे देता है?
टोमजेड्रेज़
@tomjedrz अच्छा कॉल। उस बिट को नहीं देखा। मुझे नहीं पता ... हम लोगों को डोमेन में घूमने जाने की अनुमति नहीं देते हैं यदि वे पूर्ण व्यवस्थापक नहीं हैं।
शैतानिकप्‍पी 18
आप विशिष्ट OU के निचले स्तर के खातों के लिए [सीमित] अधिकारों को सौंप सकते हैं, लेकिन आप गड़बड़ से बचने के लिए उपयुक्त OU में मशीन खातों को पूर्वनिर्मित करना चाह सकते हैं।
हेल्विक
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.