iT邦幫忙

0

Windows AD授權管理

小弟目前工作的公司有規定不得將一般使用者、群組設定為Domain Admin或Administrator
且Domain Administrator的密碼需密封存放(平常不得使用)
但是IT人員需要管理
Domain Computer(加入、移除網域、刪除、搬移網域電腦位置)
Domain Users and Group(新增、刪除、停用、啟用網域使用者、群組)
Domain Group Policy Management(網域群組原則的新增、調整、刪除)

請問各位先進有什麼好的方式,不將使用者的帳號設定為Domain Admin的前提下
讓特定帳號或特定群組可以順利執行上述三個工作內容嗎?

網域環境 Windows Server 2012R2
目前有在IT的電腦安裝了AD套件,可以從使用者的電腦開啟 Active Directory Users and Computers項目
但是無法將現存一部分的帳號的刪除、停用,也無法調整GPO的設定。

看更多先前的討論...收起先前的討論...
小成 iT邦高手 10 級 ‧ 2018-10-23 08:24:47 檢舉
委派
https://i.imgur.com/aPi9s9G.png
或是直接設定OU的安全性
https://i.imgur.com/3xRrVfs.png
GPO也一樣
h1324512 iT邦新手 5 級 ‧ 2018-10-23 10:39:14 檢舉
除了委派外
或是有種東西,叫特權軟體
可以特定時間及允許使用的設備上指定某些特定帳號
給特別的ad權限,可以找看看試用版
harrytsai iT邦新手 5 級 ‧ 2018-10-23 11:00:03 檢舉
1.一般使用者大多給到Domain User就可以了
2.IT人員應該跟一般使用者不同
3.就算Domain Administrator不能使用,你也要建立一個次級的管理者,一般也都是把MIS加入Administrator群組裡面,一方面方便管理,一方面也不會去動到原來管理者帳號
4.你本身就應該要知道當權限有新增、刪除、修改,這樣的權限跟管理者的權限就相差不遠,這樣的限制並沒有太多意義
回覆小成:這邊有測試了OU安全性、委派甚至兩者都設定,卻發現部分現有的帳號無法停用或刪除,所以才求助。

回覆h1324512:就暫時不考慮特權軟體,看原本Windows內部機制是否有辦法可以達到這個功能。

回覆harrytsai:我懂您的意思,但是這個就是弔詭的地方,公司規定就是這樣不是我這個小螺絲丁可以要求修改的,但卻要求需達到這個層度。

此外,我不確定是否有辦法設定一個群組,讓這個群組的權限可以到接近Administrator or Domain Admin這個層級,有前輩可以指導的嗎?
小成 iT邦高手 10 級 ‧ 2018-10-24 08:38:20 檢舉
>這邊有測試了OU安全性、委派甚至兩者都設定,卻發現部分現有的帳號無法停用或刪除,所以才求助。

看一下擁有者?
有看擁有者,沒有委派的群組(例如G)存在
不過剛剛新增了一個組織容器(例如甲),然後再將甲組織容器委派給G群組,再將原本放在USERS容器的帳號、群組搬移到甲組織容器,就運作正常了
讓我不太能夠理解為什麼,或許是Windows本身的限制?
CalvinKuo iT邦大師 7 級 ‧ 2018-10-24 09:25:56 檢舉
建議自己用VM建個Lab模擬...
我是懷疑你動不了的OU、USER有可能是系統預設OU/帳號改名而來的...
回覆CalvinKuo:
我原本也有這樣想,但是測試了幾個帳號發現並非是系統預設的帳號,是之前人員透過Administrator新增的,所以我真的不太能夠理解為什麼..............

1 個回答

0
tyudfg1682
iT邦新手 4 級 ‧ 2018-10-29 22:33:44

委派只是幫你設定好OU內的安全性權限,你自己會進去改就不需要委派了

每層根目錄OU裡面的安全性有分別套用到 1.這個物件 2所有物件和子物件 3.所有子使用者...等

你如果套用錯類別,你怎麼設定都不會有用。

再來無法刪除的使用者帳戶,去檢查它的物件屬性 "保護物件防止被意外刪除"是否為True

如果為True你永遠也沒辦法 "刪除"和"移動" 物件到其他OU去 就算你有權限也一樣

GPO的調整設定,只要帳戶有在"Group Policy Creator Owners"這個預設群組裡面就有權限了

我要發表回答

立即登入回答