企業裡面如果使用AD進行人員和電腦的管理,企業中一般會設定一個Helpdesk的職位,是公司的IT人員,負責公司員工電腦的日常問題,在很多情況下需要Helpdesk對電腦具有本地管理員權限才能對電腦的軟體、系統之類的進行設定,所以我們需要在AD的組策略中設定將Helpdesk使用者加入到所有員工電腦的Administrators組中。
我們為保證伺服器的安全禁止Helpdesk使用者遠端連線伺服器,禁止其對伺服器電腦的管理員身份,所以禁止將Helpdesk使用者組加入到伺服器的Administrators組中。但是另外一個問題就是公司的伺服器也是在域中的,伺服器電腦會和員工的電腦都在同一個OU下,而且對AD中的所有電腦OU進行調整可能會出現相關的業務系統發生錯誤的情況(好像調整伺服器OU,Exchange服務會出錯),所以OU也不能調整。那麼這個該怎麼實現這個限制呢?
比較簡單有效方法是對整個域使用者佈建一個組策略,該組策略實現將Helpdesk使用者組添加到本機電腦中,同時對該組策略的安全作出限制,對所有伺服器電腦deny其“應用組策略”。具體操作是這樣的:
(1)在AD中建立Helpdesk使用者組,添加相關的Helpdesk使用者,建立ServerComputer組,將所有的伺服器添加到該組中。
(2)在DC上開啟“AD使用者和電腦”,開啟域的屬性視窗,在組策略選項卡中單擊“開啟”按鈕開啟組策略管理,
建立一個組策略Helpdesk,並將該組策略連結到域上,對所有域使用者生效,
(3)右擊“Helpdesk”,在彈出式菜單中選擇“編輯”,那麼就可以彈出我們熟悉的組策略編輯器了。
(4)依次展開“電腦設定”、“Windows設定”、“安全設定”、“受限制的組”,然後新群組“Helpdesk”,這個組隸屬於“Administrators”組,
這樣設定後所有域中的電腦在應用策略後都會將Helpdesk組添加到本地的Administrators組中。
(5)右擊左側控制欄的“Helpdesk[xxx.com]策略”,在彈出式菜單中選擇“屬性”選項,並切換到安全選項卡,添加伺服器電腦群組ServerComputer,然後在下面的許可權中設定其拒絕應用組策略。
(6)“確定”,完成組策略的設定。這個時候在員工電腦上運行gpupdate /force可以強制馬上重新整理組策略,看到Helpdesk已經添加到Administrators組中。但是現在如果登入伺服器也可以看到,Helpdesk也會被加入到Administrators組中,為什麼呢?
因為電腦被加入到組中後電腦如果沒有重啟,那麼他是不知道自己在這個組中的,所以組中的電腦必須重啟!重啟後就可以看到Helpdesk是不會被添加到Administrators組中的。
伺服器需要24小時運行,不允許重啟怎麼辦?可以將伺服器一台一台的添加到(5)步中的安全控制中,分別對每一台電腦設定拒絕應用組策略即可。
【說明:為什麼有些人在DC伺服器上開啟的組策略管理不是(2)中的那樣的呢?那是因為需要安裝GPMC,參見http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/gpmcinad.mspx】
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
