none
Ограничение доступа администраторам RRS feed

  • Общие обсуждения

  • Коллеги, добрый день!

    Вопрос простой, но я забыл, как можно его решить!

    Есть ряд серверов Win200 SP2 и Win2008r2. Все в одном домене.

    Нужно части доменных администраторов запретить доступ на ряд серверов. На остальные же серваки доступ оставить! Избранным же админам разрешить управлять всем пулом серверов.

    Я насколько помню нужно это делать через делегирование прав доступа. Возможно я ошибаюсь!

    Напомните, как можно решить данную задачу!

    Заранее спасибо!

    11 декабря 2013 г. 11:31

Все ответы

  • Так-то надо делать через групповые политики. Назначение прав пользователям или ограниченные группы безопасности.

    http://technet.microsoft.com/ru-ru/library/cc785631(v=ws.10).aspx

    Потом эту политику применять на серверы

    Делегирование прав доступа имеет отношение только к объектам АД

    11 декабря 2013 г. 11:44
  • Все понятно! Т е нужно вывести сервера, на которые действуют ограничения и применить GPO раздела Компьютеры, а остальные сервера оставить без изменений?
    11 декабря 2013 г. 11:50
  • только учтите что доменные администраторы могут эти же политики поменять или переместить серверы в другие OU
    самое правильное это забрать у этих личностей права доменного админа

    11 декабря 2013 г. 17:12
    Модератор
  • только учтите что доменные администраторы могут эти же политики поменять или переместить серверы в другие OU
    самое правильное это забрать у этих личностей права доменного админа

    Ок! Тогда как они будут админить контроллеры домена и добавлять пользователей! Суть вопроса то в том, чтобы запретить доступ на ряд серверов приложений, при этом сохранить возможность работать с АД.

    Может есть еще варианты решения проблемы, сторонние решения или скрипты...?

    12 декабря 2013 г. 2:05
  • Если личностям нужно только управление учетками, то можно их добавить в группу "Account operators".
    12 декабря 2013 г. 5:44
  • Если личностям нужно только управление учетками, то можно их добавить в группу "Account operators".

    Не только учетками! Тут цель именно разграничения доступа на сервера без изменения функциональных обязаностей администраторов на других ресурсах! Неужели это оказывается настолько нетривиальной задачей! Как то же это реализовано в крупных компаниях? Например часть админит скуль, часть ексч, часть АД, а пара особо доверенных админят все! Неужели нет решения?

    12 декабря 2013 г. 5:57
  • Добрый день. 

    В профиле администраторов указать logon to список серверов и компьютеров на которые они имеют право входить. 


    Печенкин Николай

    12 декабря 2013 г. 6:35
  • Добрый день. 

    В профиле администраторов указать logon to список серверов и компьютеров на которые они имеют право входить. 


    Печенкин Николай

    Хорошо! Тогда у меня возникает вопрос! Как такому администратору запретить править список "Вход в". Он просто возьмет (если конечно догадается) и вернет список так как было! Напомню, что он является админом домена и соответственно сможет это исправить!
    12 декабря 2013 г. 6:55
  • Добрый день. 

    У них полные права доменного админа? Вы как то не правильно ставите вопрос, если у них полный доступ вы никак не запретите, ни политикой, ни чем либо еще - они все равно смогут убрать. Я думаю разумнее поставить вопрос - какие задачи они должны выполнять и выдать им под эти задачи права. Создавать пользователей, сбрасывать пароли и т д. 


    Печенкин Николай

    12 декабря 2013 г. 7:07
  • Добрый день. 

    У них полные права доменного админа? Вы как то не правильно ставите вопрос, если у них полный доступ вы никак не запретите, ни политикой, ни чем либо еще - они все равно смогут убрать. Я думаю разумнее поставить вопрос - какие задачи они должны выполнять и выдать им под эти задачи права. Создавать пользователей, сбрасывать пароли и т д. 


    Печенкин Николай

    Я так и думал, что никак это не решить! Хорошо, если им ограничить их функциональные задачи до работы с учетками пользователей и добавлением ПК в домен, то как это можно сделать? Вывести их в отдельную ОУ и делегировать права и указать "Вход в" или как то еще?

    Просто если в организации несколько сотен ПК то "Вхол в" не подойдет туда ведь прописываются все машинки наа которые админ может ходить по РДЛ или я что-то не так понимаю?

    12 декабря 2013 г. 7:14
  • Добрый день. 

    Вам бы базу почитать. ..например - http://nexus.realtimepublishers.com/ASGADS.php А так - удаляете их из группы администраторы домена. Правой кнопкой на OU какой нибудь - Delegate control Wizard - и дальше по визарду. 


    Печенкин Николай

    12 декабря 2013 г. 7:21
  • Понятно!

    Но тогда меня смущает такой факт!

    Когда я работал в крупной филиальной компании, то к каждого филиала был свой КД. Все контроллеры были в одной ОУ. Мы были администраторами домена. При этом могли работать только в своем КД в другие доступ был закрыт. На все контроллеры доступ был из центрального HQ-DC. И все работало. Админы не могли ничего править но других КД и менять себе права! Как тогда это работало? Запрещалось какой то GPO?

    12 декабря 2013 г. 7:33
  • Добрый день. 

    Вы были пользователями, которым делегировали права на ваши KD. 


    Печенкин Николай

    12 декабря 2013 г. 7:36
  • Но я мог делать все! Не только рулить пользователями, но и добавлять новые КД. Права у меня были Domain Admin. Это я точно помню!

    Т е вы считаете что были делегированы почти все права?

    12 декабря 2013 г. 7:52