Home »

Делегирование полно...
 

[Решено] Делегирование полномочий локальных администраторов на определённые сервера


STALKER_SLX
Сообщения: 200
Topic starter
(@stalker_slx)
Devops
Присоединился: 2 года назад

Доброго времени суток, уважаемые форумчане!

Имею домен с множеством различных серверов по функционалу. Нужно делегировать полномочия локальных администраторов группе «adm_group1» для обслуживания только определённых серверов, например, «Server1», «Server3», «Server7».

В качестве отправной точки была использована вот эта статья:

«Добавляем доменных пользователей в локальную группу безопасности»

https://windowsnotes.ru/windows-server-2008/dobavlyaem-domennyx-polzovatelej-v-lokalnuyu-gruppu-bezopasnosti/

Реализовать свою задачу попытался через «Предпочтения групповой политики или Group Policy Preferences» с поправкой на «Security filtering».

  1. Создал новую группу «adm_group1» и поместил в неё нужных пользователей, которым планирую делегировать полномочия локальных админов
  2. Создал новую группу «Srv_maintenance1», куда собственно и поместил нужные сервера – «Server1», «Server3», «Server7»
  3. Создал новую групповую политику для делегирования полномочий, используя метод предпочтений следуя указанной выше статье.
  4. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
  5. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.

 

В итоге политика применилась на ВСЕХ серверах вместо избранных (тех что были указаны в группе «Srv_maintenance1»).

В связи с чем, прошу Вас помочь разобраться: что же я делаю не так?

Или есть какой-то более правильный способ решения поставленной задачи?

 

Ответить
7 Ответов
Farik
Сообщения: 70
(@f-yakhyaev)
Старший сисадмин
Присоединился: 2 года назад

А эти три сервера так же в домене?

Ответить
2 Ответы
Farik
(@f-yakhyaev)
Присоединился: 2 года назад

Старший сисадмин
Сообщения: 70

тупой вопрос задал =)) голова не варит под конец рабочего дня.

Так вот, Есть одна особенность, что политики не применяются на группы.

От той группы с серверами смысла нет.

Создали политики - ок., сделали по статье, добавили группу с пользоваками в группу лок. админов.  далее во вкладке Security filtering уберите всё и добавьте эти три сервера явно, а не группу, в которую вы их поместили (объект - КОмьютер). Прилинковали к OU.

Так должно сработать.

Ответить
STALKER_SLX
(@stalker_slx)
Присоединился: 2 года назад

Devops
Сообщения: 200

@f-yakhyaev

От: @f-yakhyaev

Создали политики - ок., сделали по статье, добавили группу с пользоваками в группу лок. админов.  далее во вкладке Security filtering уберите всё и добавьте эти три сервера явно, а не группу, в которую вы их поместили (объект - КОмьютер). Прилинковали к OU.

это следующее, что я сразу испробовал :) результат тот же - политика применяется на ВСЕ сервера в контейнере (OU), то есть такое ощущение, что не работает «Security filtering»....

хотя на других политиках отлично работает фильтрация как на группы, так и на отдельные объекты...

Особенности фильтрации также учитываю:

https://serveradmin.ru/group-policy-inaccessible/

Ответить
STALKER_SLX
Сообщения: 200
Topic starter
(@stalker_slx)
Devops
Присоединился: 2 года назад
От: @f-yakhyaev

Так вот, Есть одна особенность, что политики не применяются на группы.

ну, тут вы меня рассмешили.... они потому и называются групповыми политиками, что применяются именно на группы объектов - будь-то пользователи или компьютеры!

Ответить
2 Ответы
Farik
(@f-yakhyaev)
Присоединился: 2 года назад

Старший сисадмин
Сообщения: 70

@stalker_slx

Вспомню в какой книге читал, но на группы безопасности не действует

Ответить
Farik
(@f-yakhyaev)
Присоединился: 2 года назад

Старший сисадмин
Сообщения: 70

@stalker_slx

Под своим выражением политика на группы безопасности имелось ввиду, что невозможно прилинковать GPO на группу. Сорри, немного не так выразился :-) 

А насчёт того, что в фильтрах указываете группу с серверами, а фильтр не работает, так на форуме писали, что обновление виновато

А вам неудобно будет, если в ою с серверами создать под об и туда запихнуть эти три сервака далее ликовать уже на под оюшку?

Ответить
STALKER_SLX
Сообщения: 200
Topic starter
(@stalker_slx)
Devops
Присоединился: 2 года назад
От: @stalker_slx
  1. В разделе «Security filtering» созданной политики заменил «Authenticated Users» на «Domain Computers» и туда же добавил группу «Srv_maintenance1» (которая содержит собственно нужные сервера), чтобы политика применялась только на указанные сервера.
  2. Прилинковал созданную политику на OU, где размещены ВСЕ сервера компании.

 

В итоге политика применилась на ВСЕХ серверах вместо избранных (тех что были указаны в группе «Srv_maintenance1»).

Тут и была моя ключевая ошибка - ведь я указал применяться политике и на «Domain Computers» вместе с «Srv_maintenance1»!!!

То есть, чтобы всё заработало как задумано - нужно оставить в разделе «Security filtering» только «Srv_maintenance1» (которая содержит собственно нужные сервера)

Ответить