none
Организация службы поддержки. RRS feed

  • Вопрос

  • Здравствуйте. Необходимо реализовать какое-то подобие службы поддержки.

    Парк около 100 машин.

    Для авторизации в домене используются смарт-карты фирмы etoken. Оператор службы поддержки должен обладать правами администратора на клиентской машине. Работа оператора должна происходить из под клиентской учетной записи, а выполнение задач требующих прав администратора компьютера должно происходить через повышение прав по смарт-карте.

    Как бы вы это реализовали?


    https://twitter.com/#!/d1ms0n

    23 апреля 2012 г. 10:43

Ответы

  • Решил задачу с помощью restricted groups групповой политики. Добавил учетные записи службы поддержки в локальные администраторы. Через службы сертификации выдал сертификаты авторизация по смарт-карте для группы тех поддержки. Повышение прав группой тех. поддержки проводится с помощью команды "выполнить от имени другого пользователя" ибо только так возможно выполнить повышение прав в режиме удаленного помощника не применяя политик на снижение параметров контроля учетных записей (UAC).

    Все это вполне очевидно, думал кто либо мне подскажет более красивое решение задачи.

    Тем не менее всем спасибо.

    PS. Если у кого-то есть более красивое решение всегда готов рассмотреть его :)


    https://twitter.com/#!/d1ms0n


    24 апреля 2012 г. 20:23

Все ответы

  • Тут неподалеку уже спрашивали похожее: http://social.technet.microsoft.com/Forums/ru-RU/smsru/thread/9bba5eb4-a60b-48a0-8936-8e424134dd40/#9bba5eb4-a60b-48a0-8936-8e424134dd40 - кмк, самый оптимальный вариант, если нет желания возиться с решениями типа Naumen Service Desk

    А непосредственно удаленные подключения - через Удаленного помощника, или стороннее ПО. В противном случае, пользователя будет выбивать из сеанса. 

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


    24 апреля 2012 г. 9:24
    Модератор
  • Юрий, спасибо за ответ. К сожалению не настолько большой парк что бы внедрять еще одну платную "штуковину", начальство не поймет, хотя на SCSM я в любом случае обращу внимание. Очень бы хотелось сделать все с помощью встроенных средств Active Directory+Групповых политик. Для поддержки будет использоваться "удаленный помощник", для подачи заявок внутрисетевой XMPP IM. Основная задача повышение прав службы поддержки на удаленном хосте до локального администратора с помощью смарт-карты.

    https://twitter.com/#!/d1ms0n

    24 апреля 2012 г. 9:38
  • Не особо понимаю суть вопроса. Не получается повысить привилегии? Или что-то не работает в службе RunAs?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    24 апреля 2012 г. 9:57
    Отвечающий
  • Решил задачу с помощью restricted groups групповой политики. Добавил учетные записи службы поддержки в локальные администраторы. Через службы сертификации выдал сертификаты авторизация по смарт-карте для группы тех поддержки. Повышение прав группой тех. поддержки проводится с помощью команды "выполнить от имени другого пользователя" ибо только так возможно выполнить повышение прав в режиме удаленного помощника не применяя политик на снижение параметров контроля учетных записей (UAC).

    Все это вполне очевидно, думал кто либо мне подскажет более красивое решение задачи.

    Тем не менее всем спасибо.

    PS. Если у кого-то есть более красивое решение всегда готов рассмотреть его :)


    https://twitter.com/#!/d1ms0n


    24 апреля 2012 г. 20:23
  • Добрый день Константин, у нас примерные проблемы были. Решили вопрос запуском от чужого имени. Но могу предупредить сразу есть еще другая проблема - если вы применили на комп политику входить только по смарткарте и компьютер чудесным образом отвалился/либо самостоятельно вывели из домена, то политика не отменяется. Выручает только ерезагрузка клиента в безопасном режиме и удаление ключа реестра, последующая перезагрузка требует пароль ))) Будте аккуратны при выводе компьютера из домена, сначала отмените политику методом перемещение ПК в другую АЮшку, а затем выводите. Хотя может это наши доблесные админы не достмотрели и впороли где-то косяк. Но все-же проверьте.