none
Создание ограниченной учётной записи в AD. RRS feed

  • Вопрос

  • Здравствуйте!

    У меня появилась задача, с реализацией которой у меня есть проблемки. Надеюсь на Вашу помощь. Необходимо создать учётную запись в AD удовлетворяющую следующим требованиям:

    1. должна быть выделенной учетной записью (используемой только для этой цели);
    2. не должна иметь прав на интерактивный вход;
    3. должна иметь возможность входа в систему в качестве службы.

    Под п.1 предполагается, что эта учётка будет использоваться на уже заранее известных ПК (можно реализовать, разрешив этой учётке вход на определённые ПК).

    А решение п.2 и п.3 я вижу, через GPO и вот тут то и засада. Если делать через GPO, то ведь придётся создавать новое OU и к ней применять GPO и туда переносить ПК... как то не хочется усложнять... Тем более, если в этом OU будет всего лишь 1-2 ПК. Недавно прочитал про политику "замыкания на себя". Ведь можно же так реализовать? Тогда придётся просто создать глобальную группу, в неё включить нужные ПК, создать GPO и установить фильтр на созданную глобальную группу. Так?

    Если кто то знает другое решение проблемы, поделитесь! И мне очень интересно, а можно ли как то реализовать п.3 не через GPO?

    19 октября 2010 г. 6:29

Ответы

  • Я поступил следующим образом:

    Создал глобальную группу(Security) GPO_PC, в эту группу добавил необходимые ПК(5шт.). После, создал GPO - TEST, в которой включил:

    Computer Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\Log on as service = test_user Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\Deny log on locally = test_user

    В GPO - TEST в Security Filtering удалил Authenticated Users и добавил созданную группу GPO_PC. И почему то не работает... захожу админом на один из тех 5ти ПК и ничего не применилось, даже gpresult не показывает, что данная политика применяется! А вот если добавить в Security Filtering = Domain Computers, то политика срабатывает, но это не то, так как применяется ко всем ПК в домене (получается, анологично Default Domain Policy, чего мне не нужно).

    Включал даже User Group Policy loopback processing mode (включал оба режима: Replace/Merge), не помогло. Но мне кажется, что данный параметр лишний, так как те настройки, изменить которые требуется, находятся в конфигурации компьютера, а не пользователя.

    Почему GPO не работает для группы??

    • Помечено в качестве ответа Раймонд 25 октября 2010 г. 10:46
    22 октября 2010 г. 9:16
  • Почему GPO не работает для группы??

    Компьютеры, после добавления в группу нужно перезагрузить
    • Помечено в качестве ответа Раймонд 25 октября 2010 г. 10:47
    22 октября 2010 г. 9:21
    Отвечающий
  • Спасибо! Перезагрузка помогла! А не подскажете, почему так? Даже gpresult не показывал, что есть такая политика.

    Конечно подскажу, после перезагрузки компьютер получает новые билеты ( TGT\TGS) kerberos (для доступа к ресурсам, в число которых входит и GPO созданное вами)  - содержащие помимо всего прочего и членство в новых группах.
    • Предложено в качестве ответа Dmitry PonomarevEditor 22 октября 2010 г. 17:32
    • Помечено в качестве ответа Раймонд 25 октября 2010 г. 10:47
    22 октября 2010 г. 14:34
    Отвечающий

Все ответы

  • Удалите эту УЗ из группы domain users, включив ее в какую-нибудь другую группу

    Потом уже "точечно" назначьте той группе те права какие нужно

    (интерактивный вход этой группе можно запретить, как раз через GPO и разрешить там же вход в качестве службы)
    19 октября 2010 г. 6:37
    Отвечающий
  • Нужно назначить "вход в качестве службы" таким образом, чтобы те, кто там уже прописан (а такое есть) остался! А если прописать кого то явно, то в зависимости от приоритера полики, там будет прописан пользователь от более высокой GPO. Ведь данный параметр не является кумулятивным.

    19 октября 2010 г. 7:27
  • Нужно назначить "вход в качестве службы" таким образом, чтобы те, кто там уже прописан (а такое есть) остался! А если прописать кого то явно, то в зависимости от приоритера полики, там будет прописан пользователь от более высокой GPO. Ведь данный параметр не является кумулятивным.


    пропишите всех, кого нужно
    19 октября 2010 г. 7:29
    Отвечающий
  • Можно и так... но на составление списка (кто там должен быть) уйдёт много времени!
    19 октября 2010 г. 8:28
  • Можно и так... но на составление списка (кто там должен быть) уйдёт много времени!

    Для этого есть шаблоны безопасности и их импорт в GPO http://technet.microsoft.com/en-us/library/cc780557(WS.10).aspx
    • Предложено в качестве ответа Dmitry PonomarevEditor 22 октября 2010 г. 17:32
    19 октября 2010 г. 14:06
    Отвечающий
  • Есть боевые системы, в которых прописаны определённые пользователи для входа в качестве службы, для определённых целей. Поэтому не подходит, спасибо! Я уже так делал (с другой учётной записью и для других целей), получилось не хорошо...

    20 октября 2010 г. 12:13
  • Я поступил следующим образом:

    Создал глобальную группу(Security) GPO_PC, в эту группу добавил необходимые ПК(5шт.). После, создал GPO - TEST, в которой включил:

    Computer Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\Log on as service = test_user Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\Deny log on locally = test_user

    В GPO - TEST в Security Filtering удалил Authenticated Users и добавил созданную группу GPO_PC. И почему то не работает... захожу админом на один из тех 5ти ПК и ничего не применилось, даже gpresult не показывает, что данная политика применяется! А вот если добавить в Security Filtering = Domain Computers, то политика срабатывает, но это не то, так как применяется ко всем ПК в домене (получается, анологично Default Domain Policy, чего мне не нужно).

    Включал даже User Group Policy loopback processing mode (включал оба режима: Replace/Merge), не помогло. Но мне кажется, что данный параметр лишний, так как те настройки, изменить которые требуется, находятся в конфигурации компьютера, а не пользователя.

    Почему GPO не работает для группы??

    • Помечено в качестве ответа Раймонд 25 октября 2010 г. 10:46
    22 октября 2010 г. 9:16
  • Почему GPO не работает для группы??

    Компьютеры, после добавления в группу нужно перезагрузить
    • Помечено в качестве ответа Раймонд 25 октября 2010 г. 10:47
    22 октября 2010 г. 9:21
    Отвечающий
  • Спасибо! Перезагрузка помогла! А не подскажете, почему так? Даже gpresult не показывал, что есть такая политика.
    22 октября 2010 г. 14:20
  • Спасибо! Перезагрузка помогла! А не подскажете, почему так? Даже gpresult не показывал, что есть такая политика.

    Конечно подскажу, после перезагрузки компьютер получает новые билеты ( TGT\TGS) kerberos (для доступа к ресурсам, в число которых входит и GPO созданное вами)  - содержащие помимо всего прочего и членство в новых группах.
    • Предложено в качестве ответа Dmitry PonomarevEditor 22 октября 2010 г. 17:32
    • Помечено в качестве ответа Раймонд 25 октября 2010 г. 10:47
    22 октября 2010 г. 14:34
    Отвечающий
  • А почему, когда в Security Filtering добавил Domain Computers, то эта GPO после gpupdate /force применилась (т.е. получается без перезагрузки ПК и обновление  TGT\TGS)?
    25 октября 2010 г. 9:41
  • А почему, когда в Security Filtering добавил Domain Computers, то эта GPO после gpupdate /force применилась (т.е. получается без перезагрузки ПК и обновление  TGT\TGS)?


    Значит в тех билетах, что уже были уже содержалась инормация о членстве в этой группе.

    Когда машину в домен заводили - вы ведь ее перезагружали? - вот оно членство в domain computers : )

    25 октября 2010 г. 9:55
    Отвечающий