28 марта 2024, 15:27

Цитата дня:

Сложнее всего начать действовать, все остальное зависит только от упорства. Амелия Эрхарт


Делегирование полномочий локальных администраторов на определённые сервера

Автор STALKER_SLX, 09 октября 2019, 22:25

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

STALKER_SLX

Доброго времени суток, уважаемые форумчане!
Имею домен с множеством различных серверов по функционалу. Нужно делегировать полномочия локальных администраторов группе «adm_group1» для обслуживания только определённых серверов, например, «Server1», «Server3», «Server7».

В качестве отправной точки была использована вот эта статья:
«Добавляем доменных пользователей в локальную группу безопасности»
https://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/

Реализовать свою задачу попытался через «Предпочтения групповой политики или Group Policy Preferences» с поправкой на «Security filtering».

1. Создал новую группу «adm_group1» и поместил в неё нужных пользователей, которым планирую делегировать полномочия локальных админов
2. Создал новую группу «Srv_maintenance1», куда собственно и поместил нужные сервера - «Server1», «Server3», «Server7»
3. Создал новую групповую политику для делегирования полномочий, используя метод предпочтений следуя указанной выше статье.
4. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
5. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.


В итоге политика применилась на ВСЕХ серверах вместо избранных (тех, что были указаны в группе «Srv_maintenance1»).

В связи с чем, прошу Вас помочь разобраться: что же я делаю не так?
Или есть какой-то более правильный способ решения поставленной задачи?


Уваров А.С.

Моделирование политики делали?

ival

Доброго времени суток, уважаемые форумчане!
Имею домен с множеством различных серверов по функционалу. Нужно делегировать полномочия локальных администраторов группе «adm_group1» для обслуживания только определённых серверов, например, «Server1», «Server3», «Server7».

В качестве отправной точки была использована вот эта статья:
«Добавляем доменных пользователей в локальную группу безопасности»
https://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/

Реализовать свою задачу попытался через «Предпочтения групповой политики или Group Policy Preferences» с поправкой на «Security filtering».

1. Создал новую группу «adm_group1» и поместил в неё нужных пользователей, которым планирую делегировать полномочия локальных админов
2. Создал новую группу «Srv_maintenance1», куда собственно и поместил нужные сервера - «Server1», «Server3», «Server7»
3. Создал новую групповую политику для делегирования полномочий, используя метод предпочтений следуя указанной выше статье.
4. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
5. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.


В итоге политика применилась на ВСЕХ серверах вместо избранных (тех, что были указаны в группе «Srv_maintenance1»).

В связи с чем, прошу Вас помочь разобраться: что же я делаю не так?
Или есть какой-то более правильный способ решения поставленной задачи?


Используйте wmi фильтр. Что нибудь такое наверное

SELECT Name FROM Win32_ComputerSystem WHERE Name LIKE 'server1' or 'server3' or 'server7'

Это на вскидку, поэтому не факт что правильно. Надо проверить через PS. Ну и вообще поищите про wmi, я давно не пользовался но 100% говору что wmi-фильт поможет вам правильно применить политику.

Вверх