Política de grupo: derechos de administrador para usuarios específicos en equipos específicos

11

Soy un programador atascado tratando de administrar una configuración de Active Directory para una pequeña empresa. El controlador de dominio ejecuta Windows Small Business Server 2008.

Tenemos un equipo de trabajadores de campo que usan tabletas PC; Los problemas de configuración con el bloatware ThinkVantage de la tableta requerirán que estos usuarios tengan un Administrador justo cuando usen las tabletas. Está bien, es útil para ellos tener amplios privilegios cuando los estoy guiando a través de una solución por teléfono, por lo que no estoy buscando una solución allí.

Me gustaría usar la Política de grupo para configurar el siguiente escenario: Los usuarios en un grupo de seguridad particular (o unidad de organización) deben estar en el grupo BUILTIN / Administradores cuando inician sesión en las computadoras de un determinado grupo de seguridad (o unidad de organización). Está bien si las computadoras tienen que estar en una unidad organizativa, pero preferiría asignar usuarios por grupo.

Por supuesto, los trabajadores de campo no deberían ser Administradores en otras estaciones de trabajo, y el personal de oficina no debería ser Administradores en las tabletas.

Actualmente, esto se está administrando localmente en cada tableta, pero a medida que agregamos nuevas contrataciones, se está volviendo más problemático.

Siento que Grupos Restringidos es la respuesta aquí, pero sin una base sólida en los conceptos y métodos de AD, estoy teniendo dificultades para que esto suceda.

¿Cuál es la técnica adecuada para esta tarea y cómo voy a implementarla?

security active-directory permissions group-policy WCWedin
fuente

Respuestas:

13

Cree un grupo para encapsular a los usuarios (Local-Admins-Tablets) y agréguelos a este grupo

Cree una subunidad de unidad organizativa de las estaciones de trabajo actuales y coloque las tabletas aquí (Estaciones de trabajo \ Tabletas)

Cree un GPO (Local-Admins-Tablets-Policy) y vincúlelo a las estaciones de trabajo \ Tablets OU

En el GPO, establezca lo siguiente:

  • Configuración comp. - Políticas - Configuración de Windows - Configuración de seguridad - Grupos restringidos
  • Haga clic derecho, Agregar grupo
  • "Administradores", OK
  • Miembros de este grupo: myDomain \ Local-Admins-Tablets

Reinicie las PC y listo.

Tenga en cuenta que la configuración de Grupos restringidos sobrescribirá la lista existente de administradores locales de las máquinas. Si ya tiene otros usuarios / grupos allí, también deberá agregarlos a esta política. Otros ejemplos serían myDomain \ Domain Admins, etc.

EDITAR: Ah, y cambiar el filtrado en el GPO y agregar equipos de dominio . La forma más sencilla de hacerlo es utilizar el complemento MMC de administración de directivas de grupo (puede obtenerlo de las herramientas de administración remota del servidor de Microsoft)

Izzy
fuente
55
+1. Grupos restringidos es la solución aquí. Una gpupdate / force en las estaciones de trabajo es suficiente para que el cambio surta efecto, negando la necesidad de reiniciar.
joeqwerty
Si las tabletas están en el campo , generalmente es más fácil hacer que el usuario reinicie que explicar el "cmd abierto, escriba gpupdate / force / boot", etc. :)
Izzy
1
Mediante las preferencias de directiva de grupo ( technet.microsoft.com/en-us/library/cc731892%28WS.10%29.aspx ) puede actualizar un grupo local sin sobrescribir nada.
Zoredache
1
Bueno, eso hizo el truco! Solo dos preguntas: supongo que eliminará por completo a todos los miembros actuales del grupo de administración, incluidos los usuarios locales, ¿correcto? Eso podría ser una desagradable sorpresa. Supongo que la cuenta de administrador predeterminada no se verá afectada por esto; ¿Es eso presuntuoso de mi parte?
WCWedin
1
Nunca lo he probado, siempre he agregado Builtin \ Administrators a ese grupo restringido. Cinturón y tirantes :)
Izzy
12

La respuesta de Izzy está bien si no le importa que el grupo de Administradores quede efectivamente bloqueado de futuros cambios desde la máquina local. Esto también eliminará todos los grupos que ya eran miembros del grupo Administradores antes de que se aplicara la configuración de directiva.

Sin embargo, puede usar la misma configuración de política de una manera ligeramente diferente para evitar esas molestias (suponiendo que incluso las considere molestias).

  • Cree la estructura OU / Group de la misma manera que antes
  • Cuando se encuentre en la sección Grupos restringidos del objeto de política de grupo, Agregar grupo, pero en lugar de especificar Administradores , especifique YOURDOMAIN \ Local-Admins-Tablets .
  • En la sección "Este grupo es miembro de" , haga clic en Agregar e ingrese Administradores

Es una diferencia sutil pero importante en la forma en que funcionan las dos secciones. Los miembros de este grupo efectivamente funcionan como "El Grupo A solo contendrá los Grupos X, Y y Z". Este grupo es miembro de efectivamente trabaja para ser "Asegúrese de que el Grupo A sea miembro de los Grupos X, Y y Z".

Una vez que haya establecido una política con los Miembros de este grupo , lo único que puede modificar la membresía del grupo es un objeto de política que sobrescribe y que también usa Miembros de este grupo o cualquier otra política que use Este grupo es miembro .

Ryan Bolger
fuente
2

Parece que todo lo que realmente necesita hacer es crear una política de grupo que agregue un Grupo de dominio al grupo de administradores locales. Esto es bastante fácil de lograr con un simple script de inicio o con las Preferencias de directiva de grupo .

Script de inicio simple para agregar miembros del grupo.

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")
Zoredache
fuente
Suponiendo que está usando W2K8, lo que no puedo decir en base a su pregunta.
joeqwerty
Las preferencias del lado del cliente son compatibles con un dominio 2003r2. Simplemente no tenía un enlace de un artículo 2003r2 a mano.
Zoredache
Editó la pregunta para agregar el sistema operativo. GPP parece ser una buena opción para este escenario, ya que es poco probable que los usuarios modifiquen sus grupos después, lo que hace que su naturaleza temporal sea un punto discutible. Dicho esto, implementar los requisitos previos en cada máquina cliente parece un gran dolor de cabeza.
WCWedin
1
Es por eso que hacer esto con un simple script de inicio también es una opción simple. Encuentro las preferencias útiles para muchas otras cosas también. Puede valer la pena instalarlos para otras cosas que podrá lograr en el futuro.
Zoredache
1

El único problema con la solución enumerada es que otorga derechos de administrador local a todas las máquinas donde se aplica esa política. Por lo general, desearía otorgar derechos de administrador solo a una máquina específica. Lo que he observado es que cuando un usuario se da cuenta de que tiene derechos de administrador local, instala software para todos sus compañeros.

Hay varias maneras diferentes de hacer esto, pero podría sugerir una. Por lo tanto, complete los pasos anteriores, pero también cree un grupo para cada computadora donde los usuarios necesiten derechos adicionales. Cada uno de estos "Grupos de computadoras" se agrega al grupo myDomain \ Local-Admins.

Los usuarios se agregan al grupo que corresponde a la máquina a la que necesitan acceder.

Entonces son administradores pero solo de esa máquina.

Jacob
fuente
0

Usted dice que agregar nuevas contrataciones es una molestia, pero ¿no debería agregar nuevas tabletas que serían una molestia?

Estaría haciendo algo en este sentido:

Tenga un grupo de seguridad de dominio que contenga todos los usuarios que deberían ser administradores en las tabletas (es decir, Administradores de tabletas).

En cada tableta, agregue ese grupo al grupo Administradores.

Si esta es la técnica adecuada o no, no lo sé. Es solo la primera idea que se me ocurre sobre cómo implementarla.

Barrett Jacobsen
fuente
2
No debe agregarse manualmente a cada máquina. Para eso es la Política de grupo
Izzy
1
Al configurar una nueva tableta, tengo que agregar agregar 15 usuarios a una tableta. Al agregar un nuevo empleado, tengo que agregar un usuario a 20 tabletas. Ambos son una molestia, pero la mecánica de caminar de una máquina a otra hace que este último proceso sea tedioso y lento. Sin embargo, su enfoque lo aliviará sustancialmente, incluso si no es especialmente elegante.
WCWedin
1
Haga +1 en esta votación para recuperarlo un poco. Puede que esta no sea la mejor solución, pero es una solución válida. La gente no debería ser rechazada por proponer una solución válida solo porque no es la solución preferida. Lo único que falta en esta solución es el uso de grupos restringidos para automatizar el proceso de agregar el grupo al grupo de administradores locales. Digo +1 por esfuerzo y por contribuir a la respuesta.
joeqwerty
0

Escribí un script que se ejecuta como una política informática con derechos administrativos en la estación de trabajo local. Comprueba la última descripción del usuario conectado en AD que un administrador de dominio puede establecer desde "Usuarios y equipos de Active Directory", si contiene el nombre de la estación de trabajo, el script agrega al usuario al grupo de administración local, si el nombre de la estación de trabajo no está en el Descripción del usuario, elimina al usuario del grupo de administración local. Una descripción puede incluir más de un nombre de computadora, como este:

Descripción del usuario: "Administrador local en WKST-E445R y WKST-VM398"

Entonces, para convertir a alguien en un administrador local en una sola máquina, solo tengo que agregar el nombre de esta computadora a la Descripción del usuario en AD y pedirle al usuario que reinicie , y eliminar el nombre de la computadora elimina los derechos de administrador local.

¿No es esa la mejor solución? :-)

Aquí está el guión:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end
Jeje
fuente