도메인 관리자와 유사한 계정을 만들려고하지만 도메인 컨트롤러에 액세스 할 수 없습니다. 즉,이 계정은 도메인의 모든 클라이언트 시스템에 대한 전체 관리자 권한을 가지며 도메인에 시스템을 추가 할 수 있지만 서버에 대한 사용자 권한 만 제한합니다.
이 계정은 최종 사용자 기술 지원 역할을하는 사람이 사용합니다. 그들은 드라이버, 응용 프로그램 등을 설치하기 위해 클라이언트 컴퓨터에 완전히 액세스 할 수 있어야하지만 서버에서 원하지 않습니다.
기능 : 아마 정책을 통해 함께 뭔가 자신을 던질 수 있지만 내가 물어 봐야 생각 때문에, 아마 지저분한 수 있습니다 적절한 이것에 대해 갈 수있는 방법은?
답변:
우리는 원격 사무실에서 이와 비슷한 일을합니다. 먼저 도메인에서 psuedo-admins에 대한 그룹을 작성하십시오. AD에서는 관리해야 할 OU에 대한 제어 권한을 위임합니다 (계정 만들기 / 삭제 또는 암호 재설정 또는 전혀 없음).
그런 다음 그룹 정책을 사용하여 컴퓨터 \ Windows 설정 \ 보안 설정 \ 제한된 그룹을 사용하여 워크 스테이션 및 서버의 로컬 관리자 그룹에 그룹을 추가하십시오 . 이 정책을 도메인 컨트롤러 OU 또는 서버가 포함 된 OU에 배포하지 마십시오.
이는 분명히 클라이언트 시스템을 서버와 분리하는 방식으로 AD를 구성하는 데 달려 있습니다.
UAC가 표준 기능인 Active Directory 환경으로 나아가면서이를 고려해야합니다.
기본적으로 만 로컬 관리자 계정과 Domain Admins 구성원이 자동으로 권한을 얻습니다. 많은 것들에 필요합니다 (원격 관리자 공유 연결은 하나입니다. 분명히 MSMQ와 NLB를 구성하는 데 문제가 있습니다. 다른 것들도 있습니다) 단순히 로컬 관리자 계정에 새 그룹을 배치하는 것만으로는 충분하지 않을 수 있습니다.
이 문제를 해결하려면 로컬 정책, 로컬 보안 설정 에서 "사용자 계정 컨트롤 : 관리자 승인 모드에서 관리자의 권한 상승 프롬프트 동작" 보안 정책을 수정하고 값을 "프롬프트 없음"으로 설정해야합니다 . Microsoft가 향후이 작업을 수행하는보다 목표 된 방법을 제시 할 것입니다 (또는 필요한 승인 프롬프트가 AWOL이되는 경우를 수정).
이 시도. 지금까지 내가 찾은 가장 쉬운 방법입니다. http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx 기본적으로 AD의 'COMPUTERS'폴더를 마우스 오른쪽 단추로 클릭하십시오. '제어 위임'을 선택하십시오. 마법사를 따르십시오. 모든 서버 버전에서 작동합니다.
권한 그룹을 설정하고, 원하는 컴퓨터가 해당 그룹의 구성원을 관리 할 수 있도록하고, 해당 그룹의 항목을 완전히 제어 할 수 있도록합니다.
꽤 직설적 인. 실제로 이러한 종류의 문제에 대해 Active Directory가 만들어집니다. 새 그룹 폴더를 만들고 속성에서 보안 설정을 변경하십시오.