การเพิ่มผู้ใช้ในกลุ่ม Local Admin ผ่าน Group Policy

คุณสามารถใช้ GPO (นโยบายกลุ่ม) เพื่อ เพิ่ม ผู้ใช้ Active Directory และกลุ่มไปยัง ผู้ดูแลระบบในพื้นที่ กลุ่มบนเซิร์ฟเวอร์และเวิร์กสเตชันที่เข้าร่วมโดเมน ซึ่งจะทำให้คุณสามารถให้สิทธิ์ผู้ดูแลระบบในพื้นที่บนคอมพิวเตอร์โดเมนแก่เจ้าหน้าที่สนับสนุนด้านเทคนิค ทีม HelpDesk ผู้ใช้เฉพาะ หรือบัญชีที่มีสิทธิพิเศษอื่นๆ ในบทความนี้เราจะแสดงวิธีจัดการสมาชิกของกลุ่มผู้ดูแลระบบในพื้นที่บนคอมพิวเตอร์โดเมนโดยใช้ GPO

กลุ่มผู้ดูแลระบบภายในในโดเมน Active Directory

เมื่อคุณเข้าร่วมคอมพิวเตอร์กับโดเมน AD ผู้ดูแลโดเมน กลุ่มจะถูกเพิ่มโดยอัตโนมัติใน ผู้ดูแลระบบ กลุ่ม และ ผู้ใช้โดเมน เพิ่มกลุ่มใน ผู้ใช้ . ในพื้นที่ กลุ่ม

วิธีที่ง่ายที่สุดในการให้สิทธิ์ผู้ดูแลระบบภายในเครื่องคอมพิวเตอร์คือการเพิ่มผู้ใช้หรือกลุ่มในกลุ่มความปลอดภัยในเครื่องผู้ดูแลระบบ โดยใช้ผู้ใช้และกลุ่มในพื้นที่ สแนปอิน (lusrmgr.msc ). อย่างไรก็ตาม วิธีนี้ไม่สะดวกหากมีคอมพิวเตอร์จำนวนมาก และในบางครั้ง บุคคลที่ไม่ต้องการอาจยังคงอยู่ในกลุ่มที่ได้รับสิทธิพิเศษ หากคุณกำลังใช้วิธีการให้สิทธิ์ท้องถิ่นนี้ ไม่สะดวกที่จะควบคุมสมาชิกของกลุ่มผู้ดูแลระบบในพื้นที่บนคอมพิวเตอร์โดเมนแต่ละเครื่อง

Microsoft แนะนำให้ใช้กลุ่มต่อไปนี้เพื่อแยกสิทธิ์ของผู้ดูแลระบบในโดเมน AD:

1. ผู้ดูแลระบบโดเมน ใช้เฉพาะกับตัวควบคุมโดเมน จากมุมมองด้านความปลอดภัยสำหรับบัญชีผู้ดูแลระบบที่มีสิทธิพิเศษ ไม่แนะนำให้ดำเนินการดูแลระบบรายวันบนเวิร์กสเตชันและเซิร์ฟเวอร์ภายใต้บัญชีที่มีสิทธิ์ของผู้ดูแลระบบโดเมน บัญชีเหล่านี้ต้องใช้สำหรับการจัดการ AD เท่านั้น (การเพิ่มตัวควบคุมโดเมนใหม่ การจัดการการจำลองแบบ การแก้ไขสคีมา Active Directory ฯลฯ) งานการจัดการผู้ใช้ คอมพิวเตอร์ หรือ GPO ส่วนใหญ่ต้องได้รับมอบหมายให้กับบัญชีผู้ดูแลระบบทั่วไป (โดยไม่มีสิทธิ์ผู้ดูแลระบบโดเมน) ห้ามใช้บัญชี Domain Admin เพื่อเข้าสู่ระบบเวิร์กสเตชันหรือเซิร์ฟเวอร์อื่นที่ไม่ใช่ตัวควบคุมโดเมน
2. ผู้ดูแลระบบเซิร์ฟเวอร์ เป็นกลุ่มที่อนุญาตให้จัดการเซิร์ฟเวอร์สมาชิกโดเมน ต้องไม่เป็นสมาชิกของกลุ่ม Domain Admins หรือกลุ่ม Local Administrators บนเวิร์กสเตชันของคุณ
3. ผู้ดูแลระบบเวิร์กสเตชัน เป็นกลุ่มสำหรับดำเนินการงานธุรการบนเวิร์กสเตชันเท่านั้น ต้องไม่เป็นสมาชิกของกลุ่ม Domain Admins และ Server Admins
4. ผู้ใช้โดเมน เป็นบัญชีผู้ใช้ทั่วไปเพื่อดำเนินการในสำนักงานทั่วไป พวกเขาจะต้องไม่มีสิทธิ์ของผู้ดูแลระบบบนเซิร์ฟเวอร์หรือเวิร์กสเตชัน

สมมติว่าคุณต้องการให้สิทธิ์ผู้ดูแลระบบในพื้นที่บนคอมพิวเตอร์ใน OU เฉพาะแก่กลุ่มของฝ่ายสนับสนุนด้านเทคนิคและพนักงาน HelpDesk สร้างกลุ่มความปลอดภัยใหม่ในโดเมนของคุณโดยใช้ PowerShell และเพิ่มบัญชีการสนับสนุนทางเทคนิคลงไป:

New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher

เปิดคอนโซลการจัดการนโยบายกลุ่มของโดเมน (GPMC.msc ) สร้างนโยบายใหม่ (GPO) AddLocaAdmins และเชื่อมโยงไปยัง OU ที่มีคอมพิวเตอร์ (ในตัวอย่างของฉัน มันคือ 'OU=Computers,OU=Munich,OU=DE,DC=woshub,DC=com')

AD Group Policy มีวิธีการสองวิธีในการจัดการกลุ่มท้องถิ่นบนคอมพิวเตอร์โดเมน มาศึกษากัน:

• การจัดการกลุ่มท้องถิ่นโดยใช้การตั้งค่านโยบายกลุ่ม
• จำกัดกลุ่ม

จะเพิ่มผู้ใช้โดเมนให้กับผู้ดูแลระบบภายในผ่านการตั้งค่า GPO ได้อย่างไร

การกำหนดลักษณะนโยบายกลุ่ม (GPP) เป็นวิธีที่ยืดหยุ่นและสะดวกที่สุดในการให้สิทธิ์ผู้ดูแลระบบในพื้นที่บนคอมพิวเตอร์โดเมนผ่าน GPO

1. เปิด AddLocaAdmins GPO ที่คุณสร้างไว้ก่อนหน้านี้ใน แก้ไข โหมด;
2. ไปที่ส่วน GPO ต่อไปนี้:การกำหนดค่าคอมพิวเตอร์ –> การตั้งค่า –> การตั้งค่าแผงควบคุม –> ผู้ใช้และกลุ่มในเครื่อง;
3. เพิ่มกฎใหม่ (ใหม่ -> กลุ่มท้องถิ่น );
4. เลือก อัปเดต ในช่อง Action (เป็นตัวเลือกที่สำคัญ!)
5. ในรายการดรอปดาวน์ชื่อกลุ่ม ให้เลือก ผู้ดูแลระบบ (ในตัว) แม้ว่ากลุ่มนี้จะถูกเปลี่ยนชื่อบนคอมพิวเตอร์ การตั้งค่าจะถูกนำไปใช้กับกลุ่มผู้ดูแลระบบภายในตาม SID — S-1-5-32-544;
6. คลิกปุ่ม เพิ่ม และเลือกกลุ่มที่คุณต้องการเพิ่มในกลุ่มผู้ดูแลระบบท้องถิ่น (ในกรณีของเราคือ munWKSAdmins ); หากคุณต้องการลบผู้ใช้และกลุ่มที่เพิ่มด้วยตนเองออกจากกลุ่มผู้ดูแลระบบภายในเครื่องปัจจุบัน ให้เลือก “ลบผู้ใช้ที่เป็นสมาชิกทั้งหมด ” และ “ลบกลุ่มสมาชิกทั้งหมด " ตัวเลือก. ในกรณีส่วนใหญ่จะสมเหตุสมผลเนื่องจากคุณรับประกันว่าเฉพาะกลุ่มโดเมนที่กำหนดเท่านั้นที่จะมีสิทธิ์ของผู้ดูแลระบบบนคอมพิวเตอร์โดเมนของคุณ จากนั้น หากคุณเพิ่มผู้ใช้ในกลุ่มผู้ดูแลระบบด้วยตนเองโดยใช้สแน็ปอิน "ผู้ใช้และกลุ่มในเครื่อง" ระบบจะนำผู้ใช้ออกโดยอัตโนมัติในครั้งต่อไปเมื่อใช้นโยบาย
7. บันทึกนโยบายและรอจนกว่าจะมีผลกับเวิร์กสเตชัน หากต้องการใช้นโยบายทันที ให้เรียกใช้คำสั่งนี้ gpupdate /force บนคอมพิวเตอร์ของผู้ใช้
8. เปิด lusrmgr.msc snap-in บนคอมพิวเตอร์เครื่องใดก็ได้และตรวจสอบสมาชิกกลุ่มผู้ดูแลระบบภายใน เฉพาะ munWKSAdmins กลุ่มจะถูกเพิ่มในกลุ่มนี้ ในขณะที่ผู้ใช้และกลุ่มอื่นๆ จะถูกลบออก คุณสามารถแสดงรายการผู้ดูแลระบบภายในโดยใช้คำสั่ง:net localgroup Administrators

คุณสามารถกำหนดค่าเงื่อนไขเพิ่มเติม (แบบละเอียด) สำหรับการกำหนดเป้าหมายนโยบายบนคอมพิวเตอร์เฉพาะโดยใช้ตัวกรอง GPO WMI หรือการกำหนดเป้าหมายระดับรายการ .

ในกรณีที่สอง ไปที่ ทั่วไป และตรวจสอบ การกำหนดเป้าหมายระดับรายการ . คลิกการกำหนดเป้าหมาย . ที่นี่คุณสามารถระบุเงื่อนไขว่าจะใช้นโยบายเมื่อใด ตัวอย่างเช่น ฉันต้องการให้นโยบายการเพิ่มกลุ่มผู้ดูแลระบบใช้กับคอมพิวเตอร์ Windows 10 เท่านั้น ซึ่งชื่อ NetBIOS/DNS ไม่มี adm . คุณสามารถใช้ตัวเลือกการกรองของคุณเองได้

ไม่แนะนำให้เพิ่มบัญชีผู้ใช้แต่ละบัญชีในนโยบายนี้ ควรใช้กลุ่มความปลอดภัยของโดเมน ในกรณีนี้ หากต้องการให้สิทธิ์ผู้ดูแลระบบแก่พนักงานสนับสนุนด้านเทคนิครายอื่น ก็เพียงพอที่จะเพิ่มพวกเขาในกลุ่มโดเมน (คุณไม่จำเป็นต้องแก้ไข GPO)

การจัดการกลุ่มผู้ดูแลระบบภายในโดยใช้กลุ่มที่จำกัด

กลุ่มที่ถูกจำกัด นโยบายยังอนุญาตให้เพิ่มกลุ่มโดเมน/ผู้ใช้ไปยังกลุ่มความปลอดภัยในเครื่องคอมพิวเตอร์ เป็นวิธีที่เก่ากว่าในการให้สิทธิ์ผู้ดูแลระบบในพื้นที่และปัจจุบันมีการใช้งานน้อยลง (มีความยืดหยุ่นน้อยกว่าวิธีการตั้งค่านโยบายกลุ่ม)

1. เปิด GPO ในโหมดแก้ไข
2. ขยายส่วน การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่าความปลอดภัย -> กลุ่มที่จำกัด;
3. เลือก เพิ่มกลุ่ม ในเมนูบริบท
4. ในหน้าต่างถัดไป พิมพ์ ผู้ดูแลระบบ แล้วคลิกตกลง;
5. คลิก เพิ่ม ใน สมาชิกของกลุ่มนี้ ส่วนและระบุกลุ่มที่คุณต้องการเพิ่มให้กับผู้ดูแลระบบในพื้นที่
6. บันทึกการเปลี่ยนแปลง ใช้นโยบายกับคอมพิวเตอร์ของผู้ใช้ และตรวจสอบผู้ดูแลระบบในเครื่อง กลุ่ม. จะต้องมีเฉพาะกลุ่มที่คุณระบุไว้ในนโยบาย

การใช้ GPO เพื่อเพิ่มผู้ใช้รายเดียวในกลุ่มผู้ดูแลระบบภายในในคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง

บางครั้งคุณอาจต้องให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้รายเดียวในคอมพิวเตอร์เครื่องนั้น ตัวอย่างเช่น คุณมีนักพัฒนาหลายคนที่ต้องการสิทธิ์ระดับสูงเป็นครั้งคราวเพื่อทดสอบไดรเวอร์ ดีบัก หรือติดตั้งโปรแกรมควบคุมบนคอมพิวเตอร์ของตน ไม่แนะนำให้เพิ่มลงในกลุ่มผู้ดูแลระบบเวิร์กสเตชันในคอมพิวเตอร์ทุกเครื่อง

ในการให้สิทธิ์ผู้ดูแลระบบในพื้นที่ในคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง คุณสามารถใช้รูปแบบต่อไปนี้:

ในส่วนการตั้งค่า GPO (การกำหนดค่าคอมพิวเตอร์ –> การตั้งค่า –> การตั้งค่าแผงควบคุม –> ผู้ใช้และกลุ่มในเครื่อง) ของ AddLocalAdmins นโยบายที่สร้างไว้ก่อนหน้านี้ สร้างรายการใหม่สำหรับกลุ่มผู้ดูแลระบบด้วยการตั้งค่าต่อไปนี้:

• การกระทำ :Update
• ชื่อกลุ่ม :Administrators (Built-in)
• คำอธิบาย :“Add amuller to the local administrators on the mun-dev-wsk21 computer ”
• สมาชิก :เพิ่ม -> amuller
• ใน ทั่วไป -> การกำหนดเป้าหมาย แท็บ ระบุกฎนี้:“the NETBIOS computer name is mun—dev-wks24. หมายความว่านโยบายนี้จะใช้กับคอมพิวเตอร์ที่ระบุที่นี่เท่านั้น

นอกจากนี้ ให้ใส่ใจกับลำดับที่ใช้กลุ่มบนคอมพิวเตอร์ (Order คอลัมน์ GPP) การตั้งค่ากลุ่มในพื้นที่ใช้จากบนลงล่าง (เริ่มจาก Order 1 นโยบาย).

นโยบาย GPP แรก (ด้วยการตั้งค่า "ลบผู้ใช้ที่เป็นสมาชิกทั้งหมด" และ "ลบกลุ่มสมาชิกทั้งหมด" ตามที่อธิบายไว้ข้างต้น) จะลบผู้ใช้/กลุ่มทั้งหมดออกจากกลุ่มผู้ดูแลระบบภายในและเพิ่มกลุ่มโดเมนที่ระบุ จากนั้นระบบจะใช้นโยบายเฉพาะคอมพิวเตอร์เพิ่มเติมที่เพิ่มผู้ใช้ที่ระบุไปยังผู้ดูแลระบบในพื้นที่ หากคุณต้องการเปลี่ยนลำดับการเป็นสมาชิกในกลุ่มผู้ดูแลระบบ ให้ใช้ปุ่มที่ด้านบนของคอนโซลตัวแก้ไข GPO