问题描述
在域环境中,由于普通域用户无管理员权限,不仅无法安装软件,甚至任务管理器都无法打开;为了方便运维,一般会将IT人员的用户升级为域控管理员,即加入 Domain Admins 组,此方法存在严重的安全风险,域控管理员可登录域控服务器进行任意更改。
为了解决此问题,我们通常采用的方法是,在本地计算机上,将用户加入administrators用户组,这样该用户在此计算机上就可以具备管理员权限。
而非域控管理员的加域次数是有限制的。
由此,我们可以衍生出一种更加简单和安全的方法,即通过域策略将IT人员的账号下发到所有本地计算机的本地管理员组中,并且为这些人员赋予加域和退域的权限。
操作步骤
1、新建一个用户组
在组中加入需要配置本地管理员的域用户,这样一次操作完成后,后续只需要对组成员进行调整即可
2、AD 域委派控制授权域成员管理域
在AD用户与计算机 中找到需要进行委外控制的域,委派控制
注意,向导仅能进行加域配置,按向导添加完成
委派控制后的权限从 域属性 - 安全 中查看和修改
点击高级,增加退域权限
双击需要修改权限的用户或组,即可进行更加详细的配置
3、通过域策略将域用户或组加入本地管理员组
打开组策略管理,在域中新建一个组策略
右键编辑,在 计算机配置-控制面板设置-本地用户和组-新建-本地组
操作:更新 组名:administrators(内置) 成员:添加需要的域用户或组
4、刷新域策略
在域控服务器刷新域策略
gpupdate /force
正在更新策略...
计算机策略更新成功完成。
用户策略更新成功完成。5、本地计算机查看本地组
本地计算机刷新域策略或重启后,查看本地组成员
>net localgroup administrators
别名 administrators
注释
成员
-------------------------------------------------------------------------------
Administrator
90apt\wangzhijie
90apt\90aptadmin功能测试
1、进行多次退域、加域操作,正常
2、添加后的用户,非域控管理员,在本地计算机上可以使用管理员权限运行程序,正常
能力拓展
通过net命令在本地计算机上将用户加入本地管理员组
将用户wangzhijie2加入本地管理员
net localgroup administrators 90APT\wangzhijie2 /add
命令成功完成。查看用户组
net localgroup administrators
别名 administrators
注释
成员
-------------------------------------------------------------------------------
Administrator
90APT\wangzhijie2从本地组中移除用户
net localgroup administrators 90APT\wangzhijie2 /del
命令成功完成。小结
好好好
评论