|
На каждый сервер уникальную админовскую учётку
Здравствуйте!
Есть контроллер домена win 2003 и ещё "горстка" серверов 2003-2008r2. Необходимо сделать так, чтобы у каждого из админов была своя уникальная учётка для каждого сервера, но при этом необходимо запретить доступ этим учёткам на все другие машины сети. На сколько мне видится: Например админы Vasya и Petya, а сервера типа srv1, srv2 Я на DC создаю учётки srv1_vasya, srv2_vasya, srv1_petya, srv2_petya. Для удобства делаю группы srv1adm_grp и srv2adm_grp. Даю пользователям доступ только на соответсвующие серваки. А теперь возник, наверно, ламерский вопрос, а как этим пользователям дать административный доступ на эти серваки? |
Цитата:
|
или средствами Restricted Groups включить созданные группы в локальную группу Administrators
|
Telepuzik, а как-нибудь централизованно это можно сделать? А то серверов 25 штук и админов 12 человек - мне уже страшно при одной мысли о том сколько учёток придётся наколбасить, а если ещё каждого на серваке добавлять, то я вообще застрелюсь.
zero55, я об этом читал, но в справке MS одни сплошные "осторожно!", "будьте внимательны!", но нормальных коммиксов о том как это сделать, найти так и не удалось, может у кого есть ссылки на "человеческую" документацию с примерами по Restricted Groups? |
mx1805,
А какие задачи будут выполнять админы на этих серверах? Все зависит от задач, если они будут заходить локально или по RDP то можно сделать так: 1. Создать доменную группу для всех админов 2. Добавить в эту группу всех админов 3. Использую ГП Restricted Groups добавить группу админов в группу локальных администраторов на всех серверах 4. Пройдясь по всем учеткам админов в AD выставить им вход только на те сервера которые они должны администрировать В результате админы смогут зайти только на те сервера на которые им разрешено зайти, не надо ходить и добавлять каждого админа в группу локальных администраторов. |
Telepuzik, инсталляция/деинсталляция различного ПО, настройки этого ПО (включая всякие Lotus'ы, MDaemon'ы, ERP-системы) и т.д.
Сейчас все админы входят в группу "Администарторы домена", что не есть хорошо, вот и появилась необходимость оставить одного-двух админов домена, а остальных распихать по их сферам власти. |
mx1805,
Тогда Вам подойдет тот вариант что я описал выше. |
Telepuzik, по-поводу пункта 3 почитал тут:
Правильно ли я понимаю, что сначала я должен просто отдельно создать группу, отдельно создать пользователей, потом группу засунуть в Restricted Groups. И уже там добавить пользователей в список "Члены этой группы"? там же он пишет Цитата:
|
Цитата:
Цитата:
1. Когда из группы локальных администраторв удаляются все пользователи и группы кроме локального администратора и добавляется группа которая указана в политике 2. Из группы локальных администраторов никто не удаляется а добавляется только группа указанная в политике |
Telepuzik, Большое спасибо за вашу помощь!
У меня возник ещё один вопрос: Цитата:
1. "Метод замещения" - В Rest. group добавляю группу "Администраторы" и уже сюда в меню "Члены этой группы:" указываю только тех, кто будет в неё входить на всех компьютерах. И именно тут и нужно прописать "Администраторы домена". 2. "Метод добавления" - Создаю обычную группу безопасности, добавляю в эту группу нужных мне пользователей, затем вношу эту группу в Rest. Groups и там в меню "Эта группа является членом в:" прописываю "Администраторы". Верно? |
Да верно.
|
Попробовал - работает! Спасибо!
Теперь возник следующий вопрос: Как можно сделать учётную запись с запретом входа на все сервера, при этом разрешить вход на пользовательские машины? Просто руками во всех учётках прописывать перечень всех пользовательских компьютеров, и при этом держать этот список актуальным - весьма трудно... |
Цитата:
|
| Время: 22:38. |
Время: 22:38.
© OSzone.net 2001-