Polytech-soft.com

ПК журнал
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Группа администраторы домена

Группа администраторы домена

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.

См. примечание после табл. 25.1.

К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Локальные группы в домене:

Администраторы (Administrators)
Гости (Guests)
Операторы архива (backup Operators)
Операторы печати (Print Operators)
Операторы сервера (Server Operators)
Операторы учета (Account Operators)
Пользователи (Users)
Репликатор (Replicator)
Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)

Глобальные группы:

Администраторы домена (Domain Admins)
Владельцы-создатели групповой политики (Group Policy Creator Owners)
Гости домена (Domain Guests)
Издатели сертификатов (Cert Publishers)
Компьютеры домена (Domain Computers)
Контроллеры домена (Domain Controllers)
Пользователи домена (Domain Users)

Универсальные группы:

Администраторы предприятия (Enterprise Admins)
Администраторы схемы (Schema Admins)

Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке builtin объекта домена. Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Помимо перечисленных выше встроенных групп, при установке домена Windows 200G создаются особые группы, обладающие дополнительными свойствами; среди них группы:

ВСЕ (Everyone) — объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.
СЕТЬ (Network) — объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).
ИНТЕРАКТИВНЫЕ (interactive) — объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс.

Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.

Админская фамилия

Моя фамилия Бубнов. А блог про админство, шаманство и прочие радости

07.12.2011

Active Directory. Группы по умолчанию

В Windows Server создаётся множество локальных групп по умолчанию. Рассмотрим те из них, которым предоставлены права, связанные с управлением Active Directory.

  1. Администраторы предприятия (Enterprise Admins) в контейнере Users корневого домена леса. Эта группа — член группы Администраторы (Administrators) в каждом домене леса; она предоставляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.
  2. Администраторы схемы (Schema Admins) в контейнере Users корневого домена леса. Эта группа имеет полный доступ к схеме AD.
  3. Администраторы (Administrators) в контейнере Builtin каждого домена. Эта группа имеет полный доступ ко всем контроллерам домена и данным в контексте именования домена. Она может изменять членство во всех административных группах домена, а группа Администраторы в корневом домене леса может изменять членство в группах Администраторы предприятия, Администраторы схемы и Администраторы домена. Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.
  4. Администраторы домена (Domain Admins) в контейнере Users каждого домена. Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.
  5. Операторы сервера (Server Operators) в контейнере Builtin каждого домена. Эта группа может решать задачи технической поддержки на контроллерах домена. Операторы сервера могут локально входить в систему, запускать и останавливать службы, выполнять резервное копирование и восстановление, форматировать диски, создавать и удалять общие ресурсы, а также завершать работу контроллеров доменов. По умолчанию данная группа не содержит членов.
  6. Операторы учета (Account Operators) в контейнере Builtin каждого домена. Эта группа может создавать, модифицировать и удалять учетные записи пользователей, групп и компьютеров в любом подразделении домена (кроме Domain Controllers), а также в контейнерах Users и Computers. Операторы учета не могут модифицировать учетные записи, включенные в группы Администраторы и Администраторы домена, а также не могут модифицировать эти группы. Операторы учета также могут локально входить на контроллеры домена. По умолчанию эта группа не содержит членов.
  7. Операторы архива (Backup Oprators) в контейнере Builtin каждого домена. Эта группа может выполнять операции резервного копирования и восстановления на контроллерах домена, а также локально входить на КД и завершать их работу. По умолчанию не содержит членов.
  8. Операторы печати (Print Operators) в контейнере Builtn каждого домена. Может обеспечивать поддержку очередей заданий печати на КД. Также может локально входить на КД и завершать их работу.

Следует с осторожностью относиться к группам по умолчанию, т.к. они как правило имеют более обширные полномочия, чем требуется для большинства делегированных сред, а также применяют защиту своих членов. Например, Операторы учета — защищенная группа. Снять защиту таких групп невозможно. Если пользователь становится членом защищенной группы, модифицируются его списки контроля доступа и они больше не наследуют разрешения своих подразделений. Поэтому рекомендуется не добавлять пользователей в группы, которые по умолчанию не содержат членов.

Информация из книги «Настройка Active Directory Windows Server 2008».

Добавление пользователей в локальную группу администраторов через GPO

С помощью доменных групповых политик вы можете добавить необходимых пользователей AD (или группы) в локальную группу администраторов на серверах или рабочих станциях. Так можно предоставить права локального администратора на компьютерах домена сотрудникам техподдержки, службе HelpDesk, определенным пользователям и другим привилегированным аккаунтам. В этой статье мы покажем насколько способов управления членами локальной группы администраторов на компьютерах домена через GPO.

Особенности использования группы локальных администраторов в домене Active Directory

При добавлении компьютера в домен AD в группу Administrators автоматически добавляется группы Domain Admins, а группа Domain User добавляется в локальную Users.

Самый простой способ предоставить права локального администратора на определенном компьютере – добавить пользователя или группу в локальную группу безопасности Administrators через локальную оснастку “Локальные пользователи и группы” (Local users and groups — lusrmgr.msc). Однако такой способ очень неудобен, если компьютеров много и со временем в группах локальных администраторов обязательно окажутся лишние личности. Т.е. при таком способе предоставлении прав неудобно контролировать состав группы локальных администраторов.

В классических рекомендациях по безопасности Microsoft рекомендуется использовать следующие группы для разделения полномочиями администраторов в домене:

    Domain Admins – администраторы домена, используются только на контроллерах домена;

Допустим, нам нужно предоставить группе сотрудников техподдержки и HelpDesk права локального админа на компьютерах в конкретном OU. Создайте в домене новую группу безопасности с помощью PowerShell и добавьте в нее учетные записи сотрудников техподдержки:

New-ADGroup «mskWKSAdmins» -path ‘OU=Groups,OU=Moscow,DC=winitpro,DC=ru’ -GroupScope Global –PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

Откройте консоль редактирования доменных групповых политик (GPMC.msc), cоздайте новую политику AddLocaAdmins и назначьте ее на OU с компьютерами (в моем примере это ‘OU=Computers,OU=Moscow,dc=winitpro,DC=ru’).

В групповых политиках AD есть два метода управления локальными группами на компьютерах домена. Рассмотрим их по-очереди:

  • Ограниченные группы (Restricted Groups)
  • Управление локальным группами через предпочтения групповых политик (Group Policy Preferences)

Добавление пользователей в локальную группу администраторов через Group Policy Preferences

Предпочтения групповых политик (Group Policy Preferences, GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локальных администраторов на компьютерах домена через GPO.

  1. Откройте созданную ранее политику AddLocaAdmins в режиме редактирования;
  2. Перейдите в секцию GPO: Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups;
  3. Щелкните ПКМ по правому окну и добавите новое правило (New ->Local Group);
  4. В поле Action выберите Update (это важная опция!);
  5. В выпадающем списке Group Name выберите Administrators (Built-in). Даже если эта группа была переименована на компьютере, настройки будут применены к группе локальных администраторов по ее S >Если вы хотите удалить из текущей локальной группы на компьютере пользователей и группы, добавленных вручную, отметьте опции “Delete all member users” и “Delete all member groups”. В большинстве случае это целесообразно, т.к. вы гарантируете, что на всех компьютерах права администратора будут только у назначенной доменной группы. Теперь если на компьютере вручную добавить пользователя в группу администраторов, при следующем применении политики он будет автоматически удален.

Вы можете настроить дополнительные (гранулярные) условия нацеливания данной политики на конкретные компьютеры с помощью WMI фильтров GPO или Item-level Targeting. Во втором случае перейдите на вкладку Common и отметьте опцию Item-level targeting. Нажмите на кнопку Targeting. Здесь вы можете указать условия, когда данная политика будет применяться. Например, я хочу, чтобы политика добавления группф администраторов применялась только к компьютерам с Windows 10, чьи NetBIOS/DNS имена не содержат adm . Вы можете использовать свои условия фильтрации.

Не рекомендуется добавлять в этой политики индивидуальные аккаунты пользователей, лучше использовать доменные группы безопасности. В этом случае, чтобы предоставить права администраторов очередному сотруднику тех. поддержки, вам достаточно добавить его в доменную группу (не придется редактировать GPO),

Управление локальными администраторами через Restricted Groups

Политика групп с ограниченным доступом (Restricted Groups) также позволяет добавить доменные группы/пользователей в локальные группы безопасности на компьютерах. Это более старый способ предоставления прав локального администратора и сейчас используется реже (способ менее гибкий, чем способ с Group Policy Preferences).

  1. Перейдите в режим редактирования политики;
  2. Разверните секцию Computer Configuration -> Policies -> Security Settings -> Restrictred Groups (Конфигурация компьютера -> Политики -> Параметры безопасности -> Ограниченные группы);
  3. В контекстном меню выберите Add Group;
  4. В открывшемся окне укажите Administrators -> Ok;
  5. В секции “Members of this group” нажмите Add и укажите группу, которую вы хотите добавить в локальные админы;
  6. Сохраните изменения, примените политику на компьютеры пользователей и проверьте локальную групп Administrators. В ней должна остаться только указанная в политике группа.

Предоставление прав администратора на конкретном компьютере

Иногда нужно предоставить определенному пользователю права администратора на конкретном компьютере. Например, у вас есть несколько разработчиков, которым периодически необходимы повышенные привилегии для тестирования драйверов, отладки, установки на своих компьютерах. Нецелесообразно добавлять их в группу администраторов рабочих станций на всех компьютерах.

Чтобы предоставить права лок. админа на одном конкретном компьютере можно использовать такую схему.

Прямо в созданной ранее политике AddLocalAdmins в секции предпочтений (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups) создайте новую запись для группы Administrators со следующими настройками:

  • Action: Update
  • Group Name: Administrators (Built-in)
  • Description: “Добавление apivanov в лок. администраторы на компьютере msk-ws24”
  • Members: Add -> apivanov
  • На вкладке Common ->Targeting указать правило: “the NETBIOS computer name is msk-ws24”. Т.е. данная политика будет применяться только на указанном здесь компьютере.

Также обратите внимание на порядок применения групп на компьютере – Order. Настройки локальных групп применяются сверху вниз (начиная с политики с Order 1).

Первая политика GPP (с настройками “Delete all member users” и “Delete all member groups” как описано выше), удаляет всех пользователей/группы из группы локальных администраторов и добавляет указанную доменную группу. Затем применится дополнительная политика для конкретного компьютера и добавит в администраторы указанного пользователя. Если нужно изменить порядок применения членства в группе Администраторы, воспользуйтесь кнопками вверху консоли редактора GPO.

Группы по умолчанию в Active Directory

После установки роли AD на Windows Server появляются несколько стандартных групп безопасности, которые в основном связаны с управлением Active Directory. Какие же группы создаются?

1) Администраторы предприятия (Enterprise Admins) – находится в контейнере Users корневого домена леса. Эта группа – член группы Администраторы (Administrators) в каждом домене леса; она представляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация (Configuration) каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.

2) Администраторы схемы (Schema Admins) – находится в контейнере Users корневого домена леса. Эта группа имеет полный доступ к схеме Active Directory.

3) Администраторы (Administrators) – находится в контейнере Builtin каждого домена. Эта группа имеет полный доступ ко всем контроллерам домена и данным в контексте именования домена. Она может изменять членство во всех административных группах домена, а группа Администраторы (Administrators) в корневом домене леса может изменять членство в группах Администраторы предприятия (Enterprise Admins), Администраторы Схемы (Schema Admins) и Администраторы домена (Domain Admins). Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.

4) Администраторы домена (Domain Admins) – находится в контейнере Users каждого домена. Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.

5) Операторы сервера (Server Operators) – находится в контейнере Builtin каждого домена. Эта группа может решать задачи технической поддержки на контроллерах домена. Операторы сервера могут локально входить в систему, запускать и останавливать службы, выполнять резервное копирование и восстановление, форматировать диски, создавать и удалять общие ресурсы, а также завершать работу контроллеров доменов. По умолчанию данная группа не содержит членов.

6) Операторы учета (Account Operators) – находится в контейнере Builtin каждого домена. Эта группа может создавать, модифицировать и удалять учетные записи пользователей, групп и компьютеров в любом подразделении домена (кроме подразделения Domain Controllers), а также в контейнерах Users и Computers. Операторы учета не могут модифицировать учетные записи, включенные в группы Администраторы и Администраторы домена, а также не могут модифицировать эти группы. Операторы учета также могут локально входить на контроллеры домена. По умолчанию эта группа не содержит членов.

7) Операторы архива (Backup Operators) – находится в контейнере Builtin каждого домена. Эта группа может выполнять операции резервного копирования и восстановления на контроллерах домена, а также локально входить на контроллеры домена и завершать их работу. По умолчанию эта группа не содержит членов.

8 ) Операторы печати (Print Operators) – находится в контейнере Builtin каждого домена. Эта группа может обеспечивать поддержку очередей заданий печати на контроллерах домена. Она также может локально входить на контроллеры домена и завершать их работу.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Читать еще:  Проблемы системного администратора
Ссылка на основную публикацию
Adblock
detector