none
Administrators skupina - jak nastavit plná práva na klientech, žádná na doménovém serveru

    Dotaz

  • Ahoj. Mám řadič domény windows server 2008 R2, v active directory mám několik uživatelů. Několika z těch uživatelům potřebuji udělit administrátorské oprávnění, aby měli plný přístup na všech stanicích připojených v doméně, ale zároveň neměli žádný přístup k serveru samotnému (tzn. nemohli se přihlásit, nemohli ani vzdáleně editovat active directory strom apod.). Původně jsem si myslel, že bych toho docílil tak, že bych vytvořil novou skupinu a té bych dal nějaká práva, ale asi bude nutné používat už zavedenou skupinu Administrators, protože ta má plný přístup k celému souborovému systému na klientech. Jak tedy uživatelům v této skupině povolit všechno lokálně, ale zakázat vše na serveru?
    18. srpna 2011 10:01

Odpovědi

  • Ale to se nastavuje "na serveru". Konkretne v GPO, sekce Konfigurace pocitace - Nastaveni systemu Windows - Nastaveni zabezpeceni - Skupiny s omezenym clenstvim.

    Idealni postup:

    - Vytvor skupinu pojmenovanou napr. Workstation admins

    - pridej do teto skupiny pozadovane ucty

    - v GPO (viz vyse) zadej skupinu Administrators jejimz clenem bude skupiny Workstation admins

    - na serveru zakaz skupiny Workstation admins lokalni i vzdalene prihlaseni


    BB
    18. srpna 2011 11:26
  • 1. V anglickych Windows 2008 R2 to je zde:

        Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups

    2. Pouzival jsem mnou navrzeny zpusob uz v predchozich verzich Windows Server. Jednim skriptem na vsech stanicich. Jadrem byl prikaz

        net localgroup "Administrators" Pomocnici /ADD

        Aplikace na dalku - pres psexec ze Sysinternals

    Pod carou: Otazkou je, zda dat vice lidem pravo na zmeny v siti bez dalsich opatreni. Jen malokdo umi spolupracovat a o provedenych zmenach referovat, nebo je zaznamenat. 

     

     

    18. srpna 2011 13:26
    Moderátor
  • Nemate to dobre nastavene. Popisovane chovani neodpovida pozadovane funkci "pomocnych administratoru".

    To, co navrhuje kolega Bohdan Bijecek se tyka skupinove politiky, ktera se nastavuje pro celou active ditectory, cili domenu. Muzete ji  nastavit na serveru, nebo kdyz to umite na kteremkoliv pocitaci z administrativni konzole a opet pro celou domenu.  Pokud je vse v poradku, projevi se zmena na stanicich po urcite dobe, nebo muzete proces aplikace GPO urychlit tak, jak navrhuje Ing. Jan Chaloupek. (Pro uplnost: Nektere GPO vyzaduji restart.)

    Reseni, ktere jsem navrhoval ja, muzete rovnez roseslat na pocitace odkudkoliv ze site, pokud jste prihlaseny jako domenovy administrator. Zmena se projevi okamzite po aplikaci skriptu na lokalnich pocitacich. 

    Odebrat stanici z domeny dovede i lokalni administrator. Prida ji do domeny domenovy administrator.

    K cemu jsou lokalni uzivatele, kdyz mate domenu? Nepotrebujete si ujasnit, co vlastne chcete a co vam poskytuje domena?

     

     

     


    18. srpna 2011 14:21
    Moderátor
  • Stanice date do organizacni jednotky (OU), kterou vytvorite. Pro tuto OU nakonfigurujete GPO. Co vam brani uvest default domain policy do vychoziho stavu?

    18. srpna 2011 15:43
    Moderátor
  • GPO: http://www.amazon.com/Group-Policy-Fundamentals-Security-Troubleshooting/dp/0470275898

    Na vsechny uzivatele se vztahuje GPO, jak jste to nakonfiguroval v AD, tak to bude fungovat. Lokalni administrator nemuze editovat domenove uzivatele, protoze NEMA opravneni k upravam v Active Directory. Pokud je FW prednastaveny v GPO, volba je "zesedla" a lokalni administrator se nedostane k nastaveni. Vysledna politika je kombinaci politik, ktere se uplatni v urcitem poradi LSDOU (Local-Site-Domain-OU)

    S PowerShellem prestehujete stanice takto:

    1. Pripravite seznam pocitacu do souboru, napriklad c:\STANICE\pocitace.txt kde v souboru pocitace.txt je seznam pocitacu v jednom sloupci. 

    2. Spustite Active Directory Module for Windows PowerShell ze seznamu administrativnich nastroju na domenovem radici

    3. Spustite skript pro stanice jejichz jmena zacinaji treba na pismeno W a OU=STANICE a domena se jmenuje domena.cz

    $ComputerList=Get-ADComputer "(W*)" -SearchBase "CN=Computers,DC=domena,DC=cz"

    ForEach ($ComputerObject  in $ComputerList){Move-ADObject $ComputerObject -TargetPath= "OU=STANICE,DC=domena,DC=cz"}

    Skript je rozdeleny na dva radky, ale je mozne jej napsat i na jeden radek. POdobne skripty muzete pouzit i pro dalsi objekty v AD, napriklad pro uzivatele. Nazvy v prikladu nahradite realnymi jmeny.

    Doporucuji ukoncit tuto diskusi.

    • Označen jako odpověď vasek125 21. srpna 2011 12:04
    19. srpna 2011 7:13
    Moderátor

Všechny reakce

  • Proc nedate temto uzivatelum jen vyssi lokalni prava na stanicich? Muzete take mit vytvorenou skupinu uzivatelu v AD, kterou zaradite do skupiny lokalnich administratoru na stanicich. 

     

     

     

    18. srpna 2011 10:12
    Moderátor
  • No chtěl jsem si co nejvíce ulehčit práci. Je jednodušší to nějak nakonfigurovat na serveru, abych nemusel na stanice (přes 200) vůbec sahat. Ale jestli to jinak nepůjde, tak tohle je myslím docela rozumný způsob.
    18. srpna 2011 10:52
  • Ale to se nastavuje "na serveru". Konkretne v GPO, sekce Konfigurace pocitace - Nastaveni systemu Windows - Nastaveni zabezpeceni - Skupiny s omezenym clenstvim.

    Idealni postup:

    - Vytvor skupinu pojmenovanou napr. Workstation admins

    - pridej do teto skupiny pozadovane ucty

    - v GPO (viz vyse) zadej skupinu Administrators jejimz clenem bude skupiny Workstation admins

    - na serveru zakaz skupiny Workstation admins lokalni i vzdalene prihlaseni


    BB
    18. srpna 2011 11:26
  • Ať hledám jak hledám, nikde tu GPO administraci nevidím.  Je tu jen nástroje pro správu -> správa zásady skupiny, ale nikde jsem žádnou volbu "Skupiny s omezenym clenstvim" nanašel. Mohl bys mi prosim tě dát přesný postup jak to ve windows 2008 r2 hledat? Možná jsem jen slepý.

    18. srpna 2011 12:03
  • Tak už jsem našel Nastavení zabezpečení, ale úplně tam chybí položka Skupiny s omezeným členstvím.

    18. srpna 2011 12:11
  • Tak už jsem to asi našel. Je to to nastavení v Default Domain Policy že?
    18. srpna 2011 12:39
  • 1. V anglickych Windows 2008 R2 to je zde:

        Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups

    2. Pouzival jsem mnou navrzeny zpusob uz v predchozich verzich Windows Server. Jednim skriptem na vsech stanicich. Jadrem byl prikaz

        net localgroup "Administrators" Pomocnici /ADD

        Aplikace na dalku - pres psexec ze Sysinternals

    Pod carou: Otazkou je, zda dat vice lidem pravo na zmeny v siti bez dalsich opatreni. Jen malokdo umi spolupracovat a o provedenych zmenach referovat, nebo je zaznamenat. 

     

     

    18. srpna 2011 13:26
    Moderátor
  • V tom případě se to ale nekonfiguruje na serveru, ale přímo na stanicích. Já to zkoušel editovat na server ve skupinových zásadách v Default Domain Policy. Nicméně jak jsem teď zjistil, i pokud přidám uživatele přímo do skupiny Administrators, tak na stanici má stejně omezená práva - nemůže třeba odebírat počítač z domény, editovat lokální uživatele apod. Jak je to možné?
    18. srpna 2011 13:47
  • Nepomůže příkaz gpupdate ?


    JCH
    18. srpna 2011 13:54
  • Nepomohlo. Teď zkouším operovat pod uživatelem, který je členem Domain Users, Domain Admins, Administrators a stejně mám na stanicích jen omezená práva. Dokonce nemohu používat na stanicích ani mmc konzoli pro lokální úpravu zásad, nemohu odebírat počítač z domény, nemohu provést nastavení firewallu apod. Co dělám špatně?
    18. srpna 2011 14:04
  • Nemate to dobre nastavene. Popisovane chovani neodpovida pozadovane funkci "pomocnych administratoru".

    To, co navrhuje kolega Bohdan Bijecek se tyka skupinove politiky, ktera se nastavuje pro celou active ditectory, cili domenu. Muzete ji  nastavit na serveru, nebo kdyz to umite na kteremkoliv pocitaci z administrativni konzole a opet pro celou domenu.  Pokud je vse v poradku, projevi se zmena na stanicich po urcite dobe, nebo muzete proces aplikace GPO urychlit tak, jak navrhuje Ing. Jan Chaloupek. (Pro uplnost: Nektere GPO vyzaduji restart.)

    Reseni, ktere jsem navrhoval ja, muzete rovnez roseslat na pocitace odkudkoliv ze site, pokud jste prihlaseny jako domenovy administrator. Zmena se projevi okamzite po aplikaci skriptu na lokalnich pocitacich. 

    Odebrat stanici z domeny dovede i lokalni administrator. Prida ji do domeny domenovy administrator.

    K cemu jsou lokalni uzivatele, kdyz mate domenu? Nepotrebujete si ujasnit, co vlastne chcete a co vam poskytuje domena?

     

     

     


    18. srpna 2011 14:21
    Moderátor
  • Tak najednou to začalo všechno fungovat, gpupdate /force na to vliv neměl, ale možná je tam nějaký timeout. Divné mi přišlo to, že lokální uživatelé nemají právo odebrat počítač z domény a ani ostatní administrátorská práva pokud je počítač členem domény. Příklad: na počítači existuje uživatel admin, po přidání pc do domény se sice adminem můžu přihlásit, ale už nemohu odebrat počítač z domény apod.
    18. srpna 2011 14:27
  • >>>Divné mi přišlo to, že lokální uživatelé nemají právo odebrat počítač z domény<<<

    Chvala PB, ze tu moznost bezni uzivatele nemaji! 

    Admin musi byt ze skupiny lokalnich administratoru, pri vyjmuti stanice z domeny definuje pracovni skupinu a pak to jde. Po zadani novych (volnych) udaju pro pracovni skupinu se pocitac restartuje a po restartu je stanice clenem pracovni skupiny.

    Jsem rad, ze vse funguje a mohu vas jen pozadat o oznaceni odpovedi, aby se pripad uzavrel. Mate-li nejaky dalsi problem, otevrete, prosim,  nove tema.

    18. srpna 2011 14:43
    Moderátor
  • > Chvala PB, ze tu moznost bezni uzivatele nemaji!

     

    Lokální administrátoři by tu možnost mít měli.

    18. srpna 2011 14:52
  • LOKALNI ADMINISTRATOR  N E N I  BEZNY UZIVATEL!
    18. srpna 2011 15:03
    Moderátor
  • Ještě jsem zjistil takovou nešťastnou věc: neboť jsem přidal skupinu s omezeným členstvím do default domain policy, tak se to aplikovalo nejenom na stanicích, ale i na serveru, takže jsem kde jsem nechtěl být - uživatel získal admina i na serveru. Řešení bych měl: vytvořit vlastní skupinu zásad a aplikovat je jen na stanice, jenže jsem nikde nenašel způsob, jak tu skupinu zásad asociovat právě ke stanicím?
    18. srpna 2011 15:32
  • Stanice date do organizacni jednotky (OU), kterou vytvorite. Pro tuto OU nakonfigurujete GPO. Co vam brani uvest default domain policy do vychoziho stavu?

    18. srpna 2011 15:43
    Moderátor
  • Ještě jsem zjistil takovou nešťastnou věc: neboť jsem přidal skupinu s omezeným členstvím do default domain policy, tak se to aplikovalo nejenom na stanicích, ale i na serveru, takže jsem kde jsem nechtěl být - uživatel získal admina i na serveru. Řešení bych měl: vytvořit vlastní skupinu zásad a aplikovat je jen na stanice, jenže jsem nikde nenašel způsob, jak tu skupinu zásad asociovat právě ke stanicím?


    Boha jeho. Do DEFAULT DOMAIN POLICY patri MINIMALNI politiky SPOLECNE PRO CELOU DOMENU.

    MP

    18. srpna 2011 16:32
    Moderátor
  • Stanice date do organizacni jednotky (OU), kterou vytvorite. Pro tuto OU nakonfigurujete GPO.

    Obecně s vytvořením OU a spojením s GPO problém nebude. Horší je ta část "stanice dáte do OU". Jak je tam dám, pokud ještě třeba nebyly připojeny k doméně tzn. potřeboval bych to nastavit pro existující a pro všechny nové stanice.
    18. srpna 2011 18:33
  • V okamziku, kdy pripojite stanici do domeny, vytvori se jeji ucet v Computers. Pak muzete jednolive, nebo v bloku presunout domenove stanice z Computers do vami vytvorene OU. Kdyz najedete mysi na jeden pocitac, nebo nekolik pocitacu v bloku a kliknete prave tlacitko mysi - tim se objevi menu a v menu zvolite Move a v okenku, ktere se objevi oznacite levou mysi vasi OU. 

    Alternativne muzete provest vse pomoci skriptu (VB,PS,...)

    Osobne bych vam doporucil absolvovat nejaky kurz, nebo si pozvat nekoho, kdo s AD profesionalne pracuje. Oboji jsou vydaje, ale vyplati se. Tady neni prostor, abychom vas s kazdym kliknutim mysi vedli za ruku.

    18. srpna 2011 19:19
    Moderátor
  • Takže nejde nastavit, aby se implicitně všechny stanice přidávali do mé OU? Jinak já myslím, že se to spravovat naučím. Mým hlavním "nepřítelem" bylo GPO, ostatní jde nakonfigurovat hladce.
    18. srpna 2011 19:50
  • Tak jsem to našel. redircmp přesměruje zakládání nových pc do mého kontejneru a když na ten kontejner bude aplikována GPO, bude to fungovat jak chci. Jen škoda že podle všeho nejde GPO aplikovat přímo na kontejner Computers.
    18. srpna 2011 22:08
  • Ještě mi prosím někdo vysvětlete tu podivnost s utiskováním oprávnění lokálních administrátorů (nemožnost editovat uživatele, nastavit firewall ...), pokud je stanice v doméně? Dá se tomu zabránit?
    18. srpna 2011 22:31
  • GPO: http://www.amazon.com/Group-Policy-Fundamentals-Security-Troubleshooting/dp/0470275898

    Na vsechny uzivatele se vztahuje GPO, jak jste to nakonfiguroval v AD, tak to bude fungovat. Lokalni administrator nemuze editovat domenove uzivatele, protoze NEMA opravneni k upravam v Active Directory. Pokud je FW prednastaveny v GPO, volba je "zesedla" a lokalni administrator se nedostane k nastaveni. Vysledna politika je kombinaci politik, ktere se uplatni v urcitem poradi LSDOU (Local-Site-Domain-OU)

    S PowerShellem prestehujete stanice takto:

    1. Pripravite seznam pocitacu do souboru, napriklad c:\STANICE\pocitace.txt kde v souboru pocitace.txt je seznam pocitacu v jednom sloupci. 

    2. Spustite Active Directory Module for Windows PowerShell ze seznamu administrativnich nastroju na domenovem radici

    3. Spustite skript pro stanice jejichz jmena zacinaji treba na pismeno W a OU=STANICE a domena se jmenuje domena.cz

    $ComputerList=Get-ADComputer "(W*)" -SearchBase "CN=Computers,DC=domena,DC=cz"

    ForEach ($ComputerObject  in $ComputerList){Move-ADObject $ComputerObject -TargetPath= "OU=STANICE,DC=domena,DC=cz"}

    Skript je rozdeleny na dva radky, ale je mozne jej napsat i na jeden radek. POdobne skripty muzete pouzit i pro dalsi objekty v AD, napriklad pro uzivatele. Nazvy v prikladu nahradite realnymi jmeny.

    Doporucuji ukoncit tuto diskusi.

    • Označen jako odpověď vasek125 21. srpna 2011 12:04
    19. srpna 2011 7:13
    Moderátor