Войти

Показать полную графическую версию : На каждый сервер уникальную админовскую учётку


mx1805
08-04-2011, 13:20
Здравствуйте!
Есть контроллер домена win 2003 и ещё "горстка" серверов 2003-2008r2. Необходимо сделать так, чтобы у каждого из админов была своя уникальная учётка для каждого сервера, но при этом необходимо запретить доступ этим учёткам на все другие машины сети.

На сколько мне видится:
Например админы Vasya и Petya, а сервера типа srv1, srv2
Я на DC создаю учётки srv1_vasya, srv2_vasya, srv1_petya, srv2_petya. Для удобства делаю группы srv1adm_grp и srv2adm_grp. Даю пользователям доступ только на соответсвующие серваки.

А теперь возник, наверно, ламерский вопрос, а как этим пользователям дать административный доступ на эти серваки?

Telepuzik
08-04-2011, 13:33
А теперь возник, наверно, ламерский вопрос, а как этим пользователям дать административный доступ на эти серваки? »
Добавить пользователя в локальную группу Администраторов на каждом из серверов.

zero55
08-04-2011, 13:45
или средствами Restricted Groups включить созданные группы в локальную группу Administrators

mx1805
08-04-2011, 13:46
Telepuzik, а как-нибудь централизованно это можно сделать? А то серверов 25 штук и админов 12 человек - мне уже страшно при одной мысли о том сколько учёток придётся наколбасить, а если ещё каждого на серваке добавлять, то я вообще застрелюсь.

zero55, я об этом читал, но в справке MS одни сплошные "осторожно!", "будьте внимательны!", но нормальных коммиксов о том как это сделать, найти так и не удалось, может у кого есть ссылки на "человеческую" документацию с примерами по Restricted Groups?

Telepuzik
08-04-2011, 14:03
mx1805,
А какие задачи будут выполнять админы на этих серверах? Все зависит от задач, если они будут заходить локально или по RDP то можно сделать так:
1. Создать доменную группу для всех админов
2. Добавить в эту группу всех админов
3. Использую ГП Restricted Groups добавить группу админов в группу локальных администраторов на всех серверах
4. Пройдясь по всем учеткам админов в AD выставить им вход только на те сервера которые они должны администрировать
В результате админы смогут зайти только на те сервера на которые им разрешено зайти, не надо ходить и добавлять каждого админа в группу локальных администраторов.

mx1805
08-04-2011, 14:15
Telepuzik, инсталляция/деинсталляция различного ПО, настройки этого ПО (включая всякие Lotus'ы, MDaemon'ы, ERP-системы) и т.д.
Сейчас все админы входят в группу "Администарторы домена", что не есть хорошо, вот и появилась необходимость оставить одного-двух админов домена, а остальных распихать по их сферам власти.

Telepuzik
08-04-2011, 14:31
mx1805,
Тогда Вам подойдет тот вариант что я описал выше.

mx1805
08-04-2011, 14:59
Telepuzik, по-поводу пункта 3 почитал тут:
блог какого-то дядьки (http://lzeit.blogspot.com/2008/09/forcing-domain-admins-to-be-local.html)

Правильно ли я понимаю, что сначала я должен просто отдельно создать группу, отдельно создать пользователей, потом группу засунуть в Restricted Groups. И уже там добавить пользователей в список "Члены этой группы"?

там же он пишет
...add all the members of your Domain Admins group here. This seemingly extra step is necessary, because when the Group Policy is applied, it will change the membership of the group to the one specified here. If you don't list all your Domain Admins members here, you will wipe out your Domain Admins group! So, be careful and specify all relevant members here.

Т.е. мне сюда же необходимо добавить тех админов домена которых я хочу оставить полноценными админами домена?

Telepuzik
08-04-2011, 16:22
Правильно ли я понимаю, что сначала я должен просто отдельно создать группу, отдельно создать пользователей, потом группу засунуть в Restricted Groups. И уже там добавить пользователей в список "Члены этой группы"? »
Почти, Вы создаете группу и добавляете в нее пользователей, а в настройках политики указываете только эту группу.
Т.е. мне сюда же необходимо добавить тех админов домена которых я хочу оставить полноценными админами домена? »
Если они у Вас остаются в группе администраторов домена то их добавлять не следует т.к. группа администраторов домена уже является членом локальной группы администраторов. При настройке Restricted Groups есть два варианта:
1. Когда из группы локальных администраторв удаляются все пользователи и группы кроме локального администратора и добавляется группа которая указана в политике
2. Из группы локальных администраторов никто не удаляется а добавляется только группа указанная в политике

mx1805
12-04-2011, 14:36
Telepuzik, Большое спасибо за вашу помощь!

У меня возник ещё один вопрос:
При настройке Restricted Groups есть два варианта »
Правильно ли я понял, что эти 2 варианта осуществляются следующим образом:
1. "Метод замещения" - В Rest. group добавляю группу "Администраторы" и уже сюда в меню "Члены этой группы:" указываю только тех, кто будет в неё входить на всех компьютерах. И именно тут и нужно прописать "Администраторы домена".
2. "Метод добавления" - Создаю обычную группу безопасности, добавляю в эту группу нужных мне пользователей, затем вношу эту группу в Rest. Groups и там в меню "Эта группа является членом в:" прописываю "Администраторы".

Верно?

Telepuzik
12-04-2011, 22:59
Да верно.

mx1805
22-04-2011, 15:22
Попробовал - работает! Спасибо!

Теперь возник следующий вопрос:
Как можно сделать учётную запись с запретом входа на все сервера, при этом разрешить вход на пользовательские машины? Просто руками во всех учётках прописывать перечень всех пользовательских компьютеров, и при этом держать этот список актуальным - весьма трудно...

monkkey
26-04-2011, 13:06
с запретом входа на все сервера, »
В Групповой политике есть пункты "Разрешить локальный вход", "Разрешить доступ по сети". Добавьте нужные учетные записи или группы в запрет.




© OSzone.net 2001-2012