私の構成では、PDC として機能する Zentyal 6 サーバーと 90 Windows クライアントがあります。
特定の PC グループに対してのみ権限を持つドメイン管理者アカウントを作成する必要があります。
RSAT ツールを使用してこの種のアカウントを作成することは可能ですか? または、これを行う別の方法はありますか?
RSAT の「ユーザーとグループ」ツールを試しましたが、結果は得られませんでした。
ありがとう
答え1
ドメイン管理者アカウントとコンピュータ上のローカル管理者アカウントは、まったく異なるオブジェクトです。ドメイン管理者アカウントがローカル コンピュータ上で管理者権限を持つ唯一の理由は、グループがDomain AdminsローカルAdministratorsグループに属しているからです。
ドメイン管理者を作成した場合、その管理者はまさにその通りになります。提供したいと思われるものよりもはるかに多くのアクセス権を持つドメイン管理者です。
提供しようとしているのは、PC のサブセット上のローカル管理者です。
- 通常のドメインユーザーを作成する
- これらの PC の管理者を配置するドメイン グループを作成します。
- 作成した新しいドメイン グループに新しいドメイン ユーザーを配置します。
- 新しいグループ ポリシー設定を作成して、新しいグループを PC のローカル
Administratorsグループに追加します。 - 新しい OU、WMI フィルタリング、またはグループ ポリシーの ACL を使用して、その PC のサブセットに対してグループ ポリシーを適用およびフィルタリングします。