У меня есть:
- контроллер домена
- несколько пользователей домена
- несколько рабочих станций Windows (клиенты этого домена).
Рабочая станция Windows — это физические новые компьютеры. На ней не было сделано никаких настроек, кроме присоединения к домену.
Мне непонятны три момента:
Есть ли способ настроить в Active Directory разрешения локального пользователя? Например, сказать, что этот пользователь домена (или группа) должен быть администратором на этом физическом компьютере. Или мне нужно сделать это вручную на каждом физическом компьютере?
Есть ли способ запретить определенным пользователям на определенных машинах? Например, все пользователи могут подключаться ко всем рабочим станциям с RDP, кроме одной.
Я попытался вручную установить членство в локальных группах на одной рабочей станции. Я не понимаю, но я вижу свое членство в локальных группах, когда набираю
whoami /groups, но я вижу пустую строку «Local Group Memberships» вnet user bob /domainрезультате команды. В чем причина? Может быть,net user xxx /domainне предназначен для отображения локальных групп? Но в этом случае, почему я вижу пустую строку «Local Group Memberships»? Я попытался набратьnet user bob(без флага /domain), но получаю ошибку, потому что этот пользователь не существует локально.
Спасибо
решение1
Есть ли способ настроить в Active Directory разрешения локального пользователя? Например, сказать, что этот пользователь домена (или группа) должен быть администратором на этом физическом компьютере. Или мне нужно сделать это вручную на каждом физическом компьютере?
Через групповую политику используйте «Настройки > Панель управления > Локальные пользователи и группы». (Я думаю, что был и другой способ, но «Настройки» здесь работают хорошо и позволяют нескольким перекрывающимся объектам групповой политики добавлять собственные группы администраторов.)
Но если на каждом компьютере есть определенный пользователь, назначенный администратором, может быть проще сделать это вручную на каждом компьютере. (Вы можете использовать scдля удаленного запуска службы WinRM, а затем использовать winrsPowerShell Remoting для удаленного вызова net localgroup /add...)
Конечно, вы можете использовать оба варианта — GPO для предоставления локального администратора «ИТ-персоналу» (и для удаления «Администраторов домена» из локального администратора!), но вручную предоставить локального администратора назначенному пользователю.
Есть ли способ запретить определенным пользователям на определенных машинах? Например, все пользователи могут подключаться ко всем рабочим станциям с RDP, кроме одной.
Через групповую политику настройте «Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя > [Разрешить/Запретить] вход через службы удаленных рабочих столов». По умолчанию уже разрешено только администраторам + членам «Пользователей RDP».
Эту настройку также можно выполнить локально для каждого компьютера с помощью gpedit.msc или secpol.msc, но поскольку настройки по умолчанию уже запрещают пользователям, не входящим в группу «Пользователи RDP», проще вместо этого добавлять/удалять членов группы.
(Примечание: «Интерактивный» тип входа включает как локальный, так и RDP-вход, тогда как «Сетевой» тип входа предназначен для доступа SMB. Если вы устанавливаете SSH, он обычно классифицируется как «Интерактивный», но в некоторых ситуациях может быть «Сетевым».)
Я попытался вручную установить членство в локальных группах на одной рабочей станции. Я не понимаю, но я могу видеть свое членство в локальных группах, когда я ввожу whoami /groups, но я вижу пустую строку "Local Group Memberships" в результате команды net user bob /domain. В чем причина? Может быть, net user xxx /domain не предназначен для отображения локальных групп? Но в этом случае, почему я вижу пустую строку "Local Group Memberships"? Я попытался ввести net user bob (без флага /domain), но я получаю ошибку, потому что этот пользователь не существует локально.
Это покажет местные членствана контроллере домена,видимо.
Подозреваю, что это пережиток доменов, существовавших до AD (например, «домены NT» на базе NetBIOS), поскольку net.exeв нем все еще много остаточного кода с той эпохи — он даже помнит OS/2 LAN Manager и даже NetWare (например, неиспользуемый переключатель /fpnw).