Делегирование полно...
 

[Решено] Делегирование полномочий локальных администраторов на определённые сервера

8 Записи
2 Пользователи
1 Reactions
1,529 Просмотры
STALKER_SLX
Записи: 202
Создатель темы
(@stalker_slx)
Reputable Member
Присоединился: 6 лет назад

Доброго времени суток, уважаемые форумчане!

Имею домен с множеством различных серверов по функционалу. Нужно делегировать полномочия локальных администраторов группе «adm_group1» для обслуживания только определённых серверов, например, «Server1», «Server3», «Server7».

В качестве отправной точки была использована вот эта статья:

«Добавляем доменных пользователей в локальную группу безопасности»

https://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/

Реализовать свою задачу попытался через «Предпочтения групповой политики или Group Policy Preferences» с поправкой на «Security filtering».

  1. Создал новую группу «adm_group1» и поместил в неё нужных пользователей, которым планирую делегировать полномочия локальных админов
  2. Создал новую группу «Srv_maintenance1», куда собственно и поместил нужные сервера – «Server1», «Server3», «Server7»
  3. Создал новую групповую политику для делегирования полномочий, используя метод предпочтений следуя указанной выше статье.
  4. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
  5. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.

 

В итоге политика применилась на ВСЕХ серверах вместо избранных (тех что были указаны в группе «Srv_maintenance1»).

В связи с чем, прошу Вас помочь разобраться: что же я делаю не так?

Или есть какой-то более правильный способ решения поставленной задачи?

 

Ответить
7 Ответов
Записи: 71
(@f-yakhyaev)
Trusted Member
Присоединился: 6 лет назад

А эти три сервера так же в домене?

Ответить
2 Ответов
(@f-yakhyaev)
Присоединился: 6 лет назад

Trusted Member
Записи: 71

тупой вопрос задал =)) голова не варит под конец рабочего дня.

Так вот, Есть одна особенность, что политики не применяются на группы.

От той группы с серверами смысла нет.

Создали политики - ок., сделали по статье, добавили группу с пользоваками в группу лок. админов.  далее во вкладке Security filtering уберите всё и добавьте эти три сервера явно, а не группу, в которую вы их поместили (объект - КОмьютер). Прилинковали к OU.

Так должно сработать.

Ответить
STALKER_SLX
(@stalker_slx)
Присоединился: 6 лет назад

Reputable Member
Записи: 202

@f-yakhyaev

От: @f-yakhyaev

Создали политики - ок., сделали по статье, добавили группу с пользоваками в группу лок. админов.  далее во вкладке Security filtering уберите всё и добавьте эти три сервера явно, а не группу, в которую вы их поместили (объект - КОмьютер). Прилинковали к OU.

это следующее, что я сразу испробовал :) результат тот же - политика применяется на ВСЕ сервера в контейнере (OU), то есть такое ощущение, что не работает «Security filtering»....

хотя на других политиках отлично работает фильтрация как на группы, так и на отдельные объекты...

Особенности фильтрации также учитываю:

https://serveradmin.ru/group-policy-inaccessible/

Ответить
STALKER_SLX
Записи: 202
Создатель темы
(@stalker_slx)
Reputable Member
Присоединился: 6 лет назад
От: @f-yakhyaev

Так вот, Есть одна особенность, что политики не применяются на группы.

ну, тут вы меня рассмешили.... они потому и называются групповыми политиками, что применяются именно на группы объектов - будь-то пользователи или компьютеры!

Ответить
2 Ответов
(@f-yakhyaev)
Присоединился: 6 лет назад

Trusted Member
Записи: 71

@stalker_slx

Вспомню в какой книге читал, но на группы безопасности не действует

Ответить
(@f-yakhyaev)
Присоединился: 6 лет назад

Trusted Member
Записи: 71

@stalker_slx

Под своим выражением политика на группы безопасности имелось ввиду, что невозможно прилинковать GPO на группу. Сорри, немного не так выразился :-) 

А насчёт того, что в фильтрах указываете группу с серверами, а фильтр не работает, так на форуме писали, что обновление виновато

А вам неудобно будет, если в ою с серверами создать под об и туда запихнуть эти три сервака далее ликовать уже на под оюшку?

Ответить
STALKER_SLX
Записи: 202
Создатель темы
(@stalker_slx)
Reputable Member
Присоединился: 6 лет назад
От: @stalker_slx
  1. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
  2. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.

 

В итоге политика применилась на ВСЕХ серверах вместо избранных (тех что были указаны в группе «Srv_maintenance1»).

Тут и была моя ключевая ошибка - ведь я указал применяться политике и на «Domain Computers» вместе с «Srv_maintenance1»!!!

То есть, чтобы всё заработало как задумано - нужно оставить в разделе «Security filtering» только «Srv_maintenance1» (которая содержит собственно нужные сервера)

Ответить
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar