На каждый сервер уникальную админовскую учётку

Telepuzik · Отправлено: **13:33, 08-04-2011** | #2

Цитата mx1805:

А теперь возник, наверно, ламерский вопрос, а как этим пользователям дать административный доступ на эти серваки? »

Добавить пользователя в локальную группу Администраторов на каждом из серверов.

zero55 · Отправлено: **13:45, 08-04-2011** | #3

или средствами Restricted Groups включить созданные группы в локальную группу Administrators

mx1805 · Отправлено: **13:46, 08-04-2011** | #4

Telepuzik, а как-нибудь централизованно это можно сделать? А то серверов 25 штук и админов 12 человек - мне уже страшно при одной мысли о том сколько учёток придётся наколбасить, а если ещё каждого на серваке добавлять, то я вообще застрелюсь.

zero55, я об этом читал, но в справке MS одни сплошные "осторожно!", "будьте внимательны!", но нормальных коммиксов о том как это сделать, найти так и не удалось, может у кого есть ссылки на "человеческую" документацию с примерами по Restricted Groups?

Telepuzik · Отправлено: **14:03, 08-04-2011** | #5

mx1805,
А какие задачи будут выполнять админы на этих серверах? Все зависит от задач, если они будут заходить локально или по RDP то можно сделать так:
1. Создать доменную группу для всех админов
2. Добавить в эту группу всех админов
3. Использую ГП Restricted Groups добавить группу админов в группу локальных администраторов на всех серверах
4. Пройдясь по всем учеткам админов в AD выставить им вход только на те сервера которые они должны администрировать
В результате админы смогут зайти только на те сервера на которые им разрешено зайти, не надо ходить и добавлять каждого админа в группу локальных администраторов.

mx1805 · Отправлено: **14:15, 08-04-2011** | #6

Telepuzik, инсталляция/деинсталляция различного ПО, настройки этого ПО (включая всякие Lotus'ы, MDaemon'ы, ERP-системы) и т.д.
Сейчас все админы входят в группу "Администарторы домена", что не есть хорошо, вот и появилась необходимость оставить одного-двух админов домена, а остальных распихать по их сферам власти.

Telepuzik · Отправлено: **14:31, 08-04-2011** | #7

mx1805,
Тогда Вам подойдет тот вариант что я описал выше.

mx1805 · Отправлено: **14:59, 08-04-2011** | #8

Telepuzik, по-поводу пункта 3 почитал тут:

Правильно ли я понимаю, что сначала я должен просто отдельно создать группу, отдельно создать пользователей, потом группу засунуть в Restricted Groups. И уже там добавить пользователей в список "Члены этой группы"?

там же он пишет

Цитата:

...add all the members of your Domain Admins group here. This seemingly extra step is necessary, because when the Group Policy is applied, it will change the membership of the group to the one specified here. If you don't list all your Domain Admins members here, you will wipe out your Domain Admins group! So, be careful and specify all relevant members here.

Т.е. мне сюда же необходимо добавить тех админов домена которых я хочу оставить полноценными админами домена?

Telepuzik · Отправлено: **16:22, 08-04-2011** | #9

Цитата mx1805:

Правильно ли я понимаю, что сначала я должен просто отдельно создать группу, отдельно создать пользователей, потом группу засунуть в Restricted Groups. И уже там добавить пользователей в список "Члены этой группы"? »

Почти, Вы создаете группу и добавляете в нее пользователей, а в настройках политики указываете только эту группу.

Цитата mx1805:

Т.е. мне сюда же необходимо добавить тех админов домена которых я хочу оставить полноценными админами домена? »

Если они у Вас остаются в группе администраторов домена то их добавлять не следует т.к. группа администраторов домена уже является членом локальной группы администраторов. При настройке Restricted Groups есть два варианта:
1. Когда из группы локальных администраторв удаляются все пользователи и группы кроме локального администратора и добавляется группа которая указана в политике
2. Из группы локальных администраторов никто не удаляется а добавляется только группа указанная в политике

mx1805 · Отправлено: **14:36, 12-04-2011** | #10

Telepuzik, Большое спасибо за вашу помощь!

У меня возник ещё один вопрос:

Цитата Telepuzik:

При настройке Restricted Groups есть два варианта »

Правильно ли я понял, что эти 2 варианта осуществляются следующим образом:
1. "Метод замещения" - В Rest. group добавляю группу "Администраторы" и уже сюда в меню "Члены этой группы:" указываю только тех, кто будет в неё входить на всех компьютерах. И именно тут и нужно прописать "Администраторы домена".
2. "Метод добавления" - Создаю обычную группу безопасности, добавляю в эту группу нужных мне пользователей, затем вношу эту группу в Rest. Groups и там в меню "Эта группа является членом в:" прописываю "Администраторы".

Верно?