Как компания-разработчик программного обеспечения, мы нуждаемся в том, чтобы наш персонал поддержки мог запускать несколько экземпляров нашего программного обеспечения на отдельных компьютерах.
Обычно мы делаем это так: клонируем виртуальную машину, добавляем ее на наш сервер AD и заставляем их использовать локальную учетную запись администратора на клонированной системе. Как наш системный администратор, некоторые из этих действий требуют моей помощи.
Вот что я хотел бы сделать:
- Разрешить указанным пользователям добавлять компьютеры в (поддомен) нашего локального домена. Я знаю, что они могут добавить несколько, но я хотел бы неограниченное количество добавлений.
- Разрешить тем же пользователям иметь права администратора на добавленных компьютерах без необходимости изменения конфигурации на компьютере.
Есть ли способ сделать это? Было предложено создать Организационную единицу в нашем домене, чтобы разрешить это, но кроме этого я понятия не имею.
решение1
Я бы сделал это так:
- Создайте группу разрешений под названием ACL-Local Admin for Devs
- Добавьте своих разработчиков в группу
Создайте новый GPO, добавьте в него группу и назначьте его вашему devs OU. Отредактируйте GPO следующим образом:
Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Управление правами пользователей -> Добавить рабочие станции в домен
Для пользователей становится немного сложнее стать локальными администраторами, если компьютер остается в организационной единице «Компьютеры» по умолчанию.
Вы можете перенаправить компьютеры в новую OU и предоставить разрешения этой OU для "ACL-Local Admin for Devs". Вы можете переместить свои компьютеры в правильную OU с вашим доступом AD по мере необходимости
Перенаправить OU компьютеров по умолчанию
Запустите файл Redircmp.exe в командной строке, используя следующий синтаксис, где container-dn — это отличительное имя организационной единицы, которая станет местоположением по умолчанию для вновь созданных объектов компьютеров, созданных API нижнего уровня:
redircmp container-dn container-dn
Дать разрешения через GPO
Отредактируйте тот же GPO, что и раньше, и прикрепите его к подразделению «Компьютеры»: Конфигурация компьютера -> Настройки -> Параметры панели управления -> Локальные пользователи и группы -> Создать -> Локальная группа.
