Права на установку домена без прав администратора домена

Question

Во-первых, я новый технический специалист по Jnr-серверу.

Какие права мне нужно применить к учетной записи пользователя, чтобы наши технологии могли устанавливать приложения на ПК, но не могливойти в систему на серверах, но им все еще нужно иметь возможность сбрасывать разблокированные учетные записи AD, добавлять в домен и т. д.

Вся наша среда работает на Windows 10 и Server 2012 R2 .

Microsoft и Spiceworks предлагает включить права локального администратора, но для моих пользователей это даже опасно.

У нас есть 2 Общие учетные записи с правами администратора домена и подозрение "некоторый" пользователь использует его для саботажа среды.

Мне нужно заблокировать / контролировать наши технические и / или общие учетные записи для входа на сервер через RDP.

Answer 1

Вы можете с помощью групповой политики добавить группу безопасности на локальные ПК и убедиться, что технические специалисты являются частью этой группы безопасности, затем они могут устанавливать приложения, используя параметр «Запуск от имени» на ПК пользователя.Опять же, вы можете использовать группы безопасности в AD, чтобы позволить техническим специалистам иметь ADUC на своем локальном компьютере, чтобы они могли выполнять разблокировку сброса и т. Д. И убедитесь, что ни одна из этих групп не имеет прав администратора домена, чтобы разрешить им RDP на любой из серверов.Если вы попробуете гуглить, вы должны оказаться там, где хотите.

Answer 2

Microsoft и Spiceworks предлагают включить права локального администратора, но с моими пользователями это даже опасно.

Вы назначаете локального администратора своих технических специалистов рабочим станциям, а не пользователям.Если у вас есть группа безопасности со всеми вашими техническими специалистами, вы должны добавить эту группу в группу администраторов на каждой рабочей станции.Вы можете сделать это в групповой политике.