Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Локальные администраторы в доменных сетях (Важно) (http://forum.oszone.net/showthread.php?t=262372)

Lord_@lex 13-06-2013 08:13 2166857
Локальные администраторы в доменных сетях (Важно)
 
Доброго времени суток уважаемые!
Вопрос такой!
Дано:
АД, в ней есть пользователи и группа (типа domain\локальные администраторы)
В эту группу входят пользователи, которым нужен админский доступ на свой комп
GPO в локальные администраторы добавляется группа domain\локальные администраторы, и меняет все значения которые были добавлены ранее (руками или скриптом).
Задача:
Пусть пользователи группы domain\локальные администраторы имеют локальный доступ только до своей тачки, а не могут по SMB ( С$ ) ходить где хотят.
Вопрос:
1. Как это организовать правильно?
2. Есть идея запихивать скриптом+GPO типа
$User = [ADSI]"WinNT://domain/НашЮзерИзТаблицы,user"
$Group = [ADSI]"WinNT://domain.local/Администраторы,group"
$Group.Invoke("Add",$User.PSBase.Path)
Скрипт powershell'овский - Куда его запхать?

WindowsNT 13-06-2013 08:24 2166859
GPO LocalAdmins
Computer Configuration
Preferences
Control Panel Settings
Local Users and Groups

New Local Group: Administrators, Update
Members Add: Domain\Vasya
Common
Item-Level Targeting
New Item, Computer Name = Vasya_Comp

Lord_@lex 13-06-2013 08:34 2166865
Спасибо, что-то похожее на правду, маленько но! New Item, Computer Name = Vasya_Comp, т.е. мне надо будет перечислить все компы и соответствующих пользователей? А из CSV их можно загружать?

Lord_@lex 13-06-2013 10:30 2166903
Нет, извиняюсь, но этот вариант не подходит

WindowsNT 13-06-2013 14:17 2167033
А у вас что, таких людей будет целая толпа? Ну-ну..

xoxmodav 13-06-2013 16:01 2167094
Можно поковырять параметр "Доступ к компьютеру из сети" (Конфигурация компьютера - Политики - Параметры безопасности - Локальные политики - Назначение прав пользователей), однако это не самый лучший вариант.

P.S. А вообще интересна изначальная цель подобного решения - возможно реализация выбрана не самым лучшим образом.

Lord_@lex 09-07-2013 05:45 2181661
Цитата:
Цитата WindowsNT
А у вас что, таких людей будет целая толпа? Ну-ну.. »
Около 100

Вообщем решение есть, Запихать все в csv и powershell скрипт запихать в GPO, работает проблем нет, но как то это не по фэншую чтоли

Пока тему не закрываю, надо бы подумать ещё

Хотя можно в АД учетки в каком - нибудь из доп полей указывать имя компа, чтобы уйти от csv

WindowsNT 09-07-2013 11:59 2181771
Не фен-шуй — это раздаривать привилегии. Особенно сотням (!) пользователей. Это где-то даже криминал.
Но лучшего способа задокументированно назначать индивидуальное членство в группах я пока не нашёл.

Lord_@lex 16-07-2013 13:56 2185457
На нем и остановимся, все программисты, на текущий момент они включены в группу безопасности AD Которая GPO добавляется в Локальные администраторы, а это ещё хуже. Ибо имеют доступ ко всем компам.


Время: 00:39.

Время: 00:39.
© OSzone.net 2001-