Stratégie de groupe: droits d'administrateur pour des utilisateurs spécifiques sur des ordinateurs spécifiques

Je suis un programmeur coincé essayant d'administrer une configuration Active Directory pour une petite entreprise. Le contrôleur de domaine exécute Windows Small Business Server 2008.

Nous avons une équipe de travailleurs sur le terrain utilisant des tablettes PC; les problèmes de configuration avec le bloatware ThinkVantage de la tablette nécessiteront que ces utilisateurs disposent du droit Administrateur lors de l'utilisation des tablettes. C'est bien - il est utile pour eux d'avoir de larges privilèges lorsque je les guide par téléphone, donc je ne cherche pas de solution.

Je souhaite utiliser la stratégie de groupe pour configurer le scénario suivant: Les utilisateurs d'un groupe de sécurité (ou unité d'organisation) particulier doivent être dans le groupe BUILTIN / Administrators lorsqu'ils sont connectés aux ordinateurs d'un certain groupe de sécurité (ou unité d'organisation). Ce n'est pas grave si les ordinateurs doivent être dans une unité d'organisation, mais je préfère affecter les utilisateurs par groupe.

Bien sûr, les travailleurs sur le terrain ne devraient pas être administrateurs sur d'autres postes de travail, et le personnel du bureau de la vanille ne devrait pas être des administrateurs sur les tablettes.

Actuellement, cela est géré localement sur chaque tablette, mais à mesure que nous ajoutons de nouvelles embauches, cela devient de plus en plus compliqué.

Je pense que les groupes restreints sont la réponse ici, mais sans une solide base dans les concepts et méthodes AD, j'ai du mal à y arriver.

Quelle est la technique appropriée pour cette tâche et comment pourrais-je procéder pour la mettre en œuvre?

Créer un groupe pour encapsuler les utilisateurs (Local-Admins-Tablets) et les ajouter à ce groupe

Créez une sous-unité d'organisation de l'unité de travail actuelle et placez les tablettes ici (Stations de travail \ Tablettes)

Créez un GPO (Local-Admins-Tablets-Policy) et liez-le à l'unité d'organisation Workstations \ Tablets

Dans l'objet de stratégie de groupe, définissez les éléments suivants:

• Config Comp - Stratégies - Paramètres Windows - Paramètres de sécurité - Groupes restreints
• Clic droit, Ajouter un groupe
• "Administrateurs", OK
• Membres de ce groupe: myDomain \ Local-Admins-Tablets

Redémarrez les PC, et c'est fait.

Gardez à l'esprit que la définition de groupes restreints remplacera la liste existante des administrateurs locaux des machines. Si vous avez déjà d'autres utilisateurs / groupes là-dedans, vous devrez également les ajouter à cette politique. D'autres exemples seraient myDomain \ Domain Admins etc.

EDIT: Oh, et changez le filtrage sur le GPO et ajoutez des ordinateurs de domaine . La façon la plus simple de procéder consiste à utiliser le composant logiciel enfichable MMC Gestion des stratégies de groupe (vous pouvez l'obtenir à partir des outils d'administration de serveur distant de Microsoft)

La réponse d'Izzy est correcte si vous ne vous souciez pas du fait que le groupe Administrateurs sera effectivement exclu des modifications futures de la machine locale. Cela supprimera également tous les groupes qui étaient déjà membres du groupe Administrateurs avant l'application du paramètre de stratégie.

Cependant, vous pouvez utiliser le même paramètre de stratégie d'une manière légèrement différente pour contourner ces ennuis (en supposant que vous les considériez même comme des ennuis).

• Créez la structure OU / Group de la même manière qu'auparavant
• Lorsque vous vous trouvez dans la section Groupes restreints de l'objet de stratégie de groupe, Ajouter un groupe, mais au lieu de spécifier des administrateurs , spécifiez YOURDOMAIN \ Local-Admins-Tablets .
• Dans la section "Ce groupe est membre de" , cliquez sur Ajouter et entrez Administrateurs

C'est une différence subtile mais importante dans le fonctionnement des deux sections. Les membres de ce groupe s'avèrent effectivement être «le groupe A ne contiendra que les groupes X, Y et Z». Ce groupe est membre de fonctionne efficacement pour être "Assurez-vous que le groupe A est membre des groupes X, Y et Z".

Une fois que vous avez défini la stratégie avec les membres de ce groupe , la seule chose qui peut modifier l'appartenance au groupe est un objet de stratégie prioritaire qui utilise également les membres de ce groupe ou toute autre stratégie utilisant Ce groupe est membre de .

Il semble que tout ce que vous devez vraiment faire est de créer une stratégie de groupe qui ajoute un groupe de domaines au groupe d'administrateurs locaux. Ceci est assez facile à réaliser avec un simple script de démarrage ou avec les préférences de stratégie de groupe .

Script de démarrage simple pour ajouter des membres du groupe.

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")

Le seul problème avec la solution répertoriée est qu'elle accorde des droits d'administrateur local à toutes les machines où cette stratégie s'applique. En règle générale, vous souhaitez accorder des droits d'administrateur à une machine spécifique uniquement. Ce que j'ai observé, c'est quand un utilisateur se rend compte qu'il a des droits d'administrateur local, il va installer des logiciels pour tous ses amis.

Il existe plusieurs façons de procéder, mais je pourrais simplement en suggérer une. Suivez donc les étapes ci-dessus mais créez également un groupe pour chaque ordinateur sur lequel les utilisateurs ont besoin de droits supplémentaires. Chacun de ces "groupes d'ordinateurs" est ajouté au groupe myDomain \ Local-Admins.

Les utilisateurs sont ensuite ajoutés au groupe correspondant à la machine à laquelle ils ont besoin d'accéder.

Ils sont donc administrateurs mais uniquement de cette machine.

Vous dites que l'ajout de nouvelles embauches est un problème, mais ne devrait-il pas ajouter de nouvelles tablettes qui seraient un problème?

Je ferais quelque chose dans ce sens:

Avoir un groupe de sécurité de domaine qui contient tous les utilisateurs qui devraient être administrateurs sur les tablettes PC (c'est-à-dire les administrateurs de tablette).

Sur chaque tablette, ajoutez ce groupe au groupe Administrateurs.

Que ce soit la bonne technique ou non, je ne sais pas. Ce n'est que la première idée qui m'est venue sur la façon de mettre en œuvre.

J'ai écrit un script qui s'exécute comme une stratégie informatique avec des droits administratifs sur le poste de travail local. Il vérifie la dernière description de l'utilisateur connecté dans AD qu'un administrateur de domaine peut définir à partir de "Utilisateurs et ordinateurs Active Directory", s'il contient le nom du poste de travail, le script ajoute l'utilisateur au groupe d'administrateurs local, si le nom du poste de travail n'est pas dans le Description de l'utilisateur, il supprime l'utilisateur du groupe d'administrateurs local. Une description peut inclure plusieurs noms d'ordinateur, comme ceci:

Description de l'utilisateur: "Administrateur local sur WKST-E445R et WKST-VM398"

Donc, pour faire de quelqu'un un administrateur local sur une seule machine, je dois simplement ajouter le nom de cet ordinateur à la description de l'utilisateur dans AD et demander à l'utilisateur de redémarrer , et supprimer le nom de l'ordinateur supprime les droits d'administrateur local.

N'est-ce pas la meilleure solution qui soit? :-)

Voici le script:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end