Comment créer un «administrateur de domaine» limité qui n'a pas accès aux contrôleurs de domaine?

Je cherche à créer un compte similaire à un administrateur de domaine, mais sans accès aux contrôleurs de domaine. En d'autres termes, ce compte disposera de droits d'administrateur complets sur n'importe quelle machine cliente du domaine, pourra ajouter des machines au domaine, mais ne disposera que de droits d'utilisateur limités sur les serveurs.

Ce compte sera utilisé par une personne occupant un poste de support technique pour l'utilisateur final. Ils devraient avoir un accès complet aux machines clientes pour l'installation des pilotes, des applications, etc ... mais je ne les veux pas sur les serveurs.

Bien que je puisse probablement mettre quelque chose ensemble moi-même via la politique, ce sera probablement compliqué, alors je me suis dit que je devrais demander: quelle est la bonne façon de procéder?

Nous faisons quelque chose de similaire dans nos bureaux distants. Créez d'abord un groupe pour les pseudo-administrateurs du domaine. Dans AD, déléguez le contrôle aux unités d'organisation qu'elles peuvent avoir besoin de gérer (créer / supprimer des comptes, ou peut-être simplement réinitialiser les mots de passe, ou rien du tout).

Utilisez ensuite la stratégie de groupe pour ajouter votre groupe au groupe d'administrateurs local sur les postes de travail et les serveurs à l'aide de Ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Groupes restreints . Ne déployez pas cette stratégie sur l'unité d'organisation des contrôleurs de domaine ou les unités d'organisation contenant vos serveurs.

Cela dépend évidemment de la configuration d'un AD de manière à séparer les systèmes clients des serveurs.

Alors que nous progressons dans les environnements Active Directory où l'UAC est une fonctionnalité standard, vous devrez également en tenir compte.

Par défaut uniquement, le compte administrateur local et les membres des administrateurs de domaine obtiennent une élévation automatique, ce qui est nécessaire pour de nombreuses choses (la connexion aux partages d'administrateur à distance en est un, apparemment, c'est un problème avec la configuration de MSMQ et NLB également, je suis sûr qu'il y en a d'autres) le simple fait de placer un nouveau groupe dans le compte Administrateurs local peut ne pas être suffisant.

Pour contourner ce problème, vous devez modifier la stratégie de sécurité "Contrôle de compte d'utilisateur: comportement de l'invite d'élévation pour les administrateurs en mode d'approbation administrateur" sous Stratégies locales, Paramètres de sécurité locaux et définir la valeur sur "Pas d'invite" . Espérons que Microsoft proposera une méthode plus ciblée pour le faire à l'avenir (ou corrigera les cas limites où l'invite d'approbation requise disparaît).

Essaye ça. C'est le moyen le plus simple que j'ai trouvé jusqu'à présent: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx Essentiellement, cliquez avec le bouton droit sur le dossier 'COMPUTERS' dans AD et sélectionnez «Déléguer le contrôle». Suivez l'assistant. Fonctionne dans toutes les versions de serveur.

Configurez un groupe d'autorisations, créez les ordinateurs sur lesquels vous souhaitez qu'il puisse administrer les membres de ce groupe et donnez-lui le contrôle total sur les éléments de ce groupe.

Assez simple. Active Directory est en fait conçu pour ce type de problème. Créez simplement un nouveau dossier de groupe et modifiez les paramètres de sécurité sous les propriétés.