Als Softwareunternehmen müssen unsere Supportmitarbeiter in der Lage sein, mehrere Instanzen unserer Software auf separaten Maschinen auszuführen.
Normalerweise klonen wir dazu eine virtuelle Maschine, fügen sie unserem AD-Server hinzu und lassen sie ein lokales Administratorkonto auf dem Klonsystem verwenden. Als unser Systemadministrator benötige ich bei einigen dieser Aufgaben meine Unterstützung.
Ich möchte Folgendes tun:
- Erlauben Sie bestimmten Benutzern, Computer zu (einer Unterdomäne) unserer lokalen Domäne hinzuzufügen. Ich weiß, dass sie einige hinzufügen können, aber ich hätte gerne eine unbegrenzte Anzahl von Hinzufügungen.
- Erlauben Sie denselben Benutzern, Administratorrechte auf den hinzugefügten Computern zu haben, ohne die Konfiguration auf dem Computer ändern zu müssen.
Gibt es eine Möglichkeit, dies zu tun? Es wurde vorgeschlagen, dass ich in unserer Domäne eine Organisationseinheit erstellen kann, um dies zu ermöglichen, aber darüber hinaus habe ich keine Ahnung.
Antwort1
Ich würde es so machen:
- Erstellen Sie eine Berechtigungsgruppe mit dem Namen ACL-Local Admin for Devs
- Fügen Sie Ihre Entwickler zur Gruppe hinzu
Erstellen Sie ein neues GPO, fügen Sie die Gruppe hinzu und weisen Sie sie Ihrer Entwickler-OU zu. Bearbeiten Sie das GPO wie folgt:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Benutzerrechteverwaltung -> Arbeitsstationen zur Domäne hinzufügen
Für Benutzer ist es etwas schwieriger, lokale Administratoren zu werden, wenn der Computer in der Standard-Organisationseinheit „Computer“ verbleibt.
Sie können Computer zu einer neuen OU umleiten und dieser OU Berechtigungen für den „ACL-Local Admin for Devs“ erteilen. Sie können Ihre Computer bei Bedarf mit Ihrem AD-Zugriff in die richtige OU verschieben.
Umleitung der Standard-Organisationseinheit „Computer“
Führen Sie die Datei Redircmp.exe in einer Eingabeaufforderung mit der folgenden Syntax aus, wobei „container-dn“ der definierte Name der Organisationseinheit ist, die als Standardspeicherort für neu erstellte Computerobjekte dient, die von Downlevel-APIs erstellt werden:
redircmp container-dn container-dn
Berechtigungen per GPO erteilen
Bearbeiten Sie das gleiche GPO wie zuvor und hängen Sie es an die OU Computers an: Computerkonfiguration -> Einstellungen -> Control Panel-Einstellungen -> Lokale Benutzer und Gruppen -> Neu -> Lokale Gruppe