企業裡面如果使用ad進行人員和計算機的管理,企業中一般會設定一個helpdesk的職位,是公司的it人員,負責公司員工計算機的日常問題,在很多情況下需要helpdesk對計算機具有本地管理者權限才能對計算機的軟體、系統之類的進行設定,是以我們需要在ad的組政策中設定将helpdesk使用者加入到所有員工計算機的administrators組中。
我們為保證伺服器的安全禁止helpdesk使用者遠端連接配接伺服器,禁止其對伺服器計算機的管理者身份,是以禁止将helpdesk使用者組加入到伺服器的administrators組中。但是另外一個問題就是公司的伺服器也是在域中的,伺服器計算機會和員工的計算機都在同一個ou下,而且對ad中的所有計算機ou進行調整可能會出現相關的業務系統發生錯誤的情況(好像調整伺服器ou,exchange服務會出錯),是以ou也不能調整。那麼這個該怎麼實作這個限制呢?
比較簡單有效的方法是對整個域使用者設定一個組政策,該組政策實作将helpdesk使用者組添加到本地計算機中,同時對該組政策的安全作出限制,對所有伺服器計算機deny其“應用組政策”。具體操作是這樣的:
(1)在ad中建立helpdesk使用者組,添加相關的helpdesk使用者,建立servercomputer組,将所有的伺服器添加到該組中。
(2)在dc上打開“ad使用者和計算機”,打開域的屬性視窗,在組政策頁籤中單擊“打開”按鈕打開組政策管理,
建立一個組政策helpdesk,并将該組政策連結到域上,對所有域使用者生效,如圖:
(3)右擊“helpdesk”,在彈出式菜單中選擇“編輯”,那麼就可以彈出我們熟悉的組政策編輯器了。
(4)依次展開“計算機設定”、“windows設定”、“安全設定”、“受限制的組”,然後建立組“helpdesk”,這個組隸屬于“administrators”組,如圖:
這樣設定後所有域中的計算機在應用政策後都會将helpdesk組添加到本地的administrators組中。
(5)右擊左側控制欄的“helpdesk[xxx.com]政策”,在彈出式菜單中選擇“屬性”選項,并切換到安全頁籤,添加伺服器計算機組servercomputer,然後在下面的權限中設定其拒絕應用組政策。
(6)“确定”,完成組政策的設定。這個時候在員工計算機上運作gpupdate /force可以強制馬上重新整理組政策,看到helpdesk已經添加到administrators組中。但是現在如果登入伺服器也可以看到,helpdesk也會被加入到administrators組中,為什麼呢?
因為計算機被加入到組中後計算機如果沒有重新開機,那麼他是不知道自己在這個組中的,是以組中的計算機必須重新開機!重新開機後就可以看到helpdesk是不會被添加到administrators組中的。
伺服器需要24小時運作,不允許重新開機怎麼辦?可以将伺服器一台一台的添加到(5)步中的安全控制中,分别對每一台計算機設定拒絕應用組政策即可。