Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Локальные администраторы в доменных сетях (Важно)

Ответить
Настройки темы
Вопрос - Локальные администраторы в доменных сетях (Важно)

Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать


Доброго времени суток уважаемые!
Вопрос такой!
Дано:
АД, в ней есть пользователи и группа (типа domain\локальные администраторы)
В эту группу входят пользователи, которым нужен админский доступ на свой комп
GPO в локальные администраторы добавляется группа domain\локальные администраторы, и меняет все значения которые были добавлены ранее (руками или скриптом).
Задача:
Пусть пользователи группы domain\локальные администраторы имеют локальный доступ только до своей тачки, а не могут по SMB ( С$ ) ходить где хотят.
Вопрос:
1. Как это организовать правильно?
2. Есть идея запихивать скриптом+GPO типа
$User = [ADSI]"WinNT://domain/НашЮзерИзТаблицы,user"
$Group = [ADSI]"WinNT://domain.local/Администраторы,group"
$Group.Invoke("Add",$User.PSBase.Path)
Скрипт powershell'овский - Куда его запхать?

Отправлено: 08:13, 13-06-2013

 

Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать


GPO LocalAdmins
Computer Configuration
Preferences
Control Panel Settings
Local Users and Groups

New Local Group: Administrators, Update
Members Add: Domain\Vasya
Common
Item-Level Targeting
New Item, Computer Name = Vasya_Comp

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.


Отправлено: 08:24, 13-06-2013 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать


Спасибо, что-то похожее на правду, маленько но! New Item, Computer Name = Vasya_Comp, т.е. мне надо будет перечислить все компы и соответствующих пользователей? А из CSV их можно загружать?

Отправлено: 08:34, 13-06-2013 | #3


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать


Нет, извиняюсь, но этот вариант не подходит

Отправлено: 10:30, 13-06-2013 | #4


Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать


А у вас что, таких людей будет целая толпа? Ну-ну..

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.


Отправлено: 14:17, 13-06-2013 | #5


Аватара для xoxmodav

PainStaking


Moderator


Сообщения: 3992
Благодарности: 442

Профиль | Отправить PM | Цитировать


Можно поковырять параметр "Доступ к компьютеру из сети" (Конфигурация компьютера - Политики - Параметры безопасности - Локальные политики - Назначение прав пользователей), однако это не самый лучший вариант.

P.S. А вообще интересна изначальная цель подобного решения - возможно реализация выбрана не самым лучшим образом.

-------
RadioActive - and therefore harmful, cynical and the extremely dangerous.


Отправлено: 16:01, 13-06-2013 | #6


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата WindowsNT:
А у вас что, таких людей будет целая толпа? Ну-ну.. »
Около 100

Вообщем решение есть, Запихать все в csv и powershell скрипт запихать в GPO, работает проблем нет, но как то это не по фэншую чтоли

Пока тему не закрываю, надо бы подумать ещё

Хотя можно в АД учетки в каком - нибудь из доп полей указывать имя компа, чтобы уйти от csv

Отправлено: 05:45, 09-07-2013 | #7


Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать


Не фен-шуй — это раздаривать привилегии. Особенно сотням (!) пользователей. Это где-то даже криминал.
Но лучшего способа задокументированно назначать индивидуальное членство в группах я пока не нашёл.

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.


Отправлено: 11:59, 09-07-2013 | #8


Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать


На нем и остановимся, все программисты, на текущий момент они включены в группу безопасности AD Которая GPO добавляется в Локальные администраторы, а это ещё хуже. Ибо имеют доступ ко всем компам.

Отправлено: 13:56, 16-07-2013 | #9



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Локальные администраторы в доменных сетях (Важно)

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Доступ - Добавление в локальные группы доменных пользователей Гильдариус Windows Server 2008/2008 R2 2 06-12-2012 10:44
2008 R2 - Удалить всех доменных юзеров из группы Администраторы с помощью GPO nikitos435 Windows Server 2008/2008 R2 13 16-05-2012 18:00
2008 R2 - Комп использует локальные политики вместо доменных Omnividente Windows Server 2008/2008 R2 4 10-12-2010 14:40
Доступ - Локальные администраторы exo Microsoft Windows 2000/XP 1 10-10-2008 17:39
Active Directory, Локальные администраторы buhanov Microsoft Windows NT/2000/2003 7 04-05-2006 08:54




 
Переход