none
Локальный админ на всех ПК в домене RRS feed

  • Вопрос

  • Здравствуйте, у меня возник вопрос, необходимо создать пользователя (группу), что бы тот являлся для всех ПК в парке, локальным администратором.

    Вариант разово добавить на каждом ПК в группу Администратор, не рассматривается ввиду того, что появляются/заменяются ПК и ОС на них с таким же успехом. Т.е. нужно создать Пользователя (Группу) Help Desk который мог бы заниматься обслуживанием парка ПК. Группа Администраторы Домена не подходит из-за больших полномочий. Спасибо.

    8 июня 2012 г. 12:03

Ответы

  • Идёте в редактирование групповых политик, там создаёте объект групповой политики:

    Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Группы с ограниченным доступом

    Здесь укажите, что глобальная группа HelpDesk входит в группу BUILTIN\Администраторы.


    Сергей Панченко


    • Изменено Daemon-GTC 8 июня 2012 г. 12:14
    • Предложено в качестве ответа Раймонд 9 июня 2012 г. 8:59
    • Помечено в качестве ответа Sergey33Rus 13 июня 2012 г. 7:30
    8 июня 2012 г. 12:13
  • Идёте в редактирование групповых политик, там создаёте объект групповой политики:

    Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Группы с ограниченным доступом

    Здесь укажите, что глобальная группа HelpDesk входит в группу BUILTIN\Администраторы.


    Сергей Панченко


    У нас в домене именно таким образом реализован данный функционал. Т.е. в политике прописано добавлять группу "Kaspersky_admin" в группу локальных администраторов на пользовательские ПК (и это GPO прикреплена к OU с пользовательскими ПК). Вот так это выглядит визуально:


    MCTS

    • Помечено в качестве ответа Sergey33Rus 13 июня 2012 г. 7:30

Все ответы

  • Идёте в редактирование групповых политик, там создаёте объект групповой политики:

    Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Группы с ограниченным доступом

    Здесь укажите, что глобальная группа HelpDesk входит в группу BUILTIN\Администраторы.


    Сергей Панченко


    • Изменено Daemon-GTC 8 июня 2012 г. 12:14
    • Предложено в качестве ответа Раймонд 9 июня 2012 г. 8:59
    • Помечено в качестве ответа Sergey33Rus 13 июня 2012 г. 7:30
    8 июня 2012 г. 12:13
  • Нет, так работать не будет, для рабочей станции точкой отсчёта должна быть её локальная группа. Единственное возможное решение — создать политику для группы Administrators и перечислить всех, кто таковыми будет являться. Как правило, это Administrator + DOMAIN\Domain Admins + DOMAIN\Company HelpDesk.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    8 июня 2012 г. 12:44
    Отвечающий
  • Нет, так работать не будет, для рабочей станции точкой отсчёта должна быть её локальная группа. Единственное возможное решение — создать политику для группы Administrators и перечислить всех, кто таковыми будет являться. Как правило, это Administrator + DOMAIN\Domain Admins + DOMAIN\Company HelpDesk.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI


    Странно, а у нас так раньше работало. сейчас используем GPP как более гибкое.
    8 июня 2012 г. 13:29
    Модератор
  • Не помнишь, вроде полгода назад было тут обсуждение, у кого-то не работало? Причина в том, что учётная запись SYSTEM (COMPUTERNAME$) рабочей станции, от лица которой будет исполняться политика, не обладает достаточными привилегиями для модификации свойств доменной группы. А применив политику для группы HelpDesk на контроллере домена, мы лишь внесём её в локальные администраторы самом контроллера .)


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    8 июня 2012 г. 14:20
    Отвечающий
  • Не помнишь, вроде полгода назад было тут обсуждение, у кого-то не работало? Причина в том, что учётная запись SYSTEM (COMPUTERNAME$) рабочей станции, от лица которой будет исполняться политика, не обладает достаточными привилегиями для модификации свойств доменной группы. А применив политику для группы HelpDesk на контроллере домена, мы лишь внесём её в локальные администраторы самом контроллера .)


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI


    не вижу проблемы. политику надо применять не на контроллеры, а на оушку с юзерскими компами, при создании группы в политике надо указать что она является членом группы administrators компа (достаточно при выборе группы выбрать в качестве location свой комп вместо домена). только что проверил, работает.
    8 июня 2012 г. 15:26
    Модератор
  • Идёте в редактирование групповых политик, там создаёте объект групповой политики:

    Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Группы с ограниченным доступом

    Здесь укажите, что глобальная группа HelpDesk входит в группу BUILTIN\Администраторы.


    Сергей Панченко


    У нас в домене именно таким образом реализован данный функционал. Т.е. в политике прописано добавлять группу "Kaspersky_admin" в группу локальных администраторов на пользовательские ПК (и это GPO прикреплена к OU с пользовательскими ПК). Вот так это выглядит визуально:


    MCTS

    • Помечено в качестве ответа Sergey33Rus 13 июня 2012 г. 7:30