Оскільки тема є архівної.
Завдання: сколхозіть контролер домену так, щоб філіальний адмін мав на ньому права адміністратора, при тому в глобальному каталозі значився чисто як DomainUser (з дещо розширеними правами на свій OU)? І зробити так, щоб не програти в безпеці значно.
Доступ по RDP то я намутив, але. це все.
Там є політика на OU філії, яка робить локальними адміністраторами на всіх компах цього OU групу а-ля filial-admins. Я ось думаю: може стягнути туди з OU DomainControllers місцевий контролер домену? І що це дасть?
Хто чо думає з цього приводу?
Питання "нахера давати адмін-права на КД?" можна не ставити. Відповідь проста: "серверів в філії мало, а сервісів вторинних треба розгортати досить - той же центр адміністрування антівірцсов, WSUS і інша фігня". Звичайно, можна все робити з "центру", але якось лінь. ¶
- які доменні відносини між офісом і філією?
- Філіальна адміну сервіси потрібно тільки розгорнути або потім їх ще й обслуговувати? ¶
- єдиний домен, у філії сайт
- думаю, що ще й підтримувати ¶
ще питання:
філіальний адмін після розгортки сервісів буде займатися тільки машинами філії або обслуговувати весь домен? ¶
Певним OU - користувачами, їх групами, комп'ютерами філії, втч серверами і, хотілося б, щоб контролером (саме контролером, а не AD в цілому) ¶
я бачу це так.
на контролер дати учетку локального адміна (power user з можливістю установки). можна навіть тимчасово, тільки для установки і настройки. і заборонити цій учетке запуск AD.
до машин в OU філії він і так має адмінських доступ, а тому для установки \ адміністрування через сервіси нехай використовує свою учетку. ¶
Суть в тому, що я хочу запустити на КД (як на сервер), який стоїть у філії, працює в одному домені з центральними серверами, але під іншим сайтом, філіального адміна, при цьому не давати цьому самому адміну прав на зміну всього глобального каталогу .
RODC НЕ Поканай з тієї простої причини, що той контролер повинен бути повнофункціональним, та й багів з рідонлі, грят, прідостаточно.
Делегування повноважень на що? на OU є вже повноваження, але КД не перебуває у цьому OU, та й чи буде сенс? - локальні адмінів все одно немає на КД ¶
RealVaVa писал (а)
Делегування повноважень на що? на OU є вже повноваження, але КД не перебуває у цьому OU, та й чи буде сенс?
Залежно від того, що конкретно вам треба. Права на вхід / вихід, зупинку / запуск служб, перезавантаження даються через GPO -> Параметри безпеки і призначення прав користувача. Права на FS через окрему групу. ¶
Я такий тред написав, поки тут глю НЕ стався. Коротше, я написав, що рідонлі не канал (просто тому що потрібен саме пофункуіональний КД). А прописувати окремо права на запуск служб, доступ до ФС - це гамірно в кожному окремому філії, тим паче що немає поки пакета конкретно опреелённих завдань для філіальних адмінів.
Я поки уявляю собі устновка центру управління Касперс (для а / в). Там і запуск служб, і доступ до системних даними знадобитися. Хотілося б якось універсалізуватися чи що. ¶