Computer >> Máy Tính >  >> Hệ thống >> Windows 10

Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm

Bạn có thể sử dụng GPO (Chính sách Nhóm) để thêm Người dùng Active Directory và nhóm với Quản trị viên cục bộ nhóm trên các máy chủ và máy trạm được tham gia miền. Điều này cho phép bạn cấp đặc quyền quản trị cục bộ trên máy tính miền cho nhân viên hỗ trợ kỹ thuật, nhóm HelpDesk, người dùng cụ thể hoặc các tài khoản đặc quyền khác. Trong bài viết này, chúng tôi sẽ trình bày cách quản lý các thành viên của nhóm Quản trị viên cục bộ trên máy tính miền bằng GPO.

Nhóm quản trị viên cục bộ trong miền Active Directory

Khi bạn kết nối máy tính với miền AD, Quản trị viên miền nhóm được tự động thêm vào Quản trị viên cục bộ nhóm và Người dùng miền nhóm được thêm vào Người dùng cục bộ nhóm.

Cách dễ nhất để cấp đặc quyền quản trị cục bộ trên máy tính là thêm người dùng hoặc nhóm vào nhóm bảo mật cục bộ Quản trị viên bằng cách sử dụng Người dùng và nhóm cục bộ snap-in (lusrmgr.msc ). Tuy nhiên, phương pháp này không thuận tiện nếu có nhiều máy tính và trong một số thời điểm những người không mong muốn có thể vẫn là thành viên của nhóm đặc quyền. Nếu bạn đang sử dụng phương pháp cấp đặc quyền cục bộ này, sẽ không thuận tiện để kiểm soát các thành viên của nhóm quản trị viên cục bộ trên mỗi máy tính miền.

Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm

Microsoft khuyến nghị sử dụng các nhóm sau để phân tách các đặc quyền quản trị trong miền AD:

  1. Quản trị viên miền chỉ được sử dụng trên bộ điều khiển miền; Từ quan điểm bảo mật đối với tài khoản quản trị viên đặc quyền, không nên thực hiện các tác vụ quản trị hàng ngày trên máy trạm và máy chủ trong tài khoản có đặc quyền Quản trị viên miền. Các tài khoản này chỉ được sử dụng để quản lý AD (thêm bộ điều khiển miền mới, quản lý sao chép, sửa đổi lược đồ Active Directory, v.v.). Hầu hết các tác vụ quản lý người dùng, máy tính hoặc GPO phải được ủy quyền cho các tài khoản quản trị viên thông thường (không có quyền Quản trị viên miền). Không sử dụng tài khoản Quản trị viên miền để đăng nhập vào bất kỳ máy trạm hoặc máy chủ nào ngoài bộ điều khiển miền.
  2. Quản trị viên máy chủ là một nhóm cho phép quản lý các máy chủ thành viên miền. Người đó không được là thành viên của nhóm Quản trị viên miền hoặc nhóm Quản trị viên cục bộ trên máy trạm của bạn;
  3. Quản trị viên máy trạm là một nhóm chỉ để thực hiện các tác vụ quản trị trên máy trạm. Không được là thành viên của nhóm Quản trị viên miền và Quản trị viên máy chủ;
  4. Người dùng miền là các tài khoản người dùng thông thường để thực hiện các hoạt động văn phòng điển hình. Họ không được có bất kỳ đặc quyền quản trị viên nào trên máy chủ hoặc máy trạm.
Bạn cũng có thể hoàn toàn từ chối cung cấp bất kỳ đặc quyền quản trị viên nào cho người dùng hoặc nhóm miền. Trong trường hợp này, tài khoản Quản trị viên cục bộ được tích hợp sẵn với mật khẩu được lưu trữ trong AD (dựa trên LAPS) được sử dụng để thực hiện các tác vụ quản trị trên máy trạm.

Giả sử, bạn muốn cấp đặc quyền quản trị viên cục bộ trên các máy tính trong đơn vị tổ chức cụ thể cho nhóm nhân viên hỗ trợ kỹ thuật và HelpDesk. Tạo nhóm bảo mật mới trong miền của bạn bằng PowerShell và thêm tài khoản hỗ trợ kỹ thuật vào đó:

New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher

Mở bảng điều khiển quản lý chính sách nhóm miền (GPMC.msc ), tạo chính sách mới (GPO) AddLocaAdmins và liên kết nó với OU chứa các máy tính (trong ví dụ của tôi, nó là ‘OU =Computers, OU =Munich, OU =DE, DC =woshub, DC =com’).

Chính sách Nhóm AD cung cấp hai phương pháp để quản lý các nhóm cục bộ trên máy tính miền. Chúng ta hãy nghiên cứu chúng lần lượt:

  • Quản lý các nhóm cục bộ bằng Tùy chọn Chính sách Nhóm;
  • Nhóm bị hạn chế.

Làm cách nào để Thêm Người dùng Miền vào Quản trị viên Cục bộ qua Tùy chọn GPO?

Tùy chọn chính sách nhóm (GPP) cung cấp cách linh hoạt và thuận tiện nhất để cấp đặc quyền quản trị viên cục bộ trên máy tính miền thông qua GPO.

  1. Mở AddLocaAdmins GPO bạn đã tạo trước đó trong Chỉnh sửa chế độ;
  2. Đi tới phần GPO sau: Cấu hình Máy tính -> Tùy chọn -> Cài đặt Bảng Điều khiển -> Người dùng Cục bộ và Nhóm ;
  3. Thêm quy tắc mới ( Mới -> Nhóm địa phương ); Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm
  4. Chọn Cập nhật trong trường Hành động (đây là một tùy chọn quan trọng!);
  5. Trong danh sách thả xuống Tên nhóm, chọn Quản trị viên (Tích hợp sẵn). Ngay cả khi nhóm này đã được đổi tên trên máy tính, các cài đặt sẽ được áp dụng cho nhóm Quản trị viên cục bộ theo SID của nó - S-1-5-32-544;
  6. Nhấp vào Thêm và chọn các nhóm bạn muốn thêm vào nhóm quản trị viên cục bộ (trong trường hợp của chúng tôi, đó là munWKSAdmins ); Nếu bạn muốn xóa người dùng và nhóm được thêm theo cách thủ công khỏi nhóm Quản trị viên cục bộ hiện tại, hãy chọn " Xóa tất cả người dùng thành viên ”Và“ Xóa tất cả các nhóm thành viên " tùy chọn. Trong hầu hết các trường hợp, điều đó là hợp lý vì bạn đảm bảo rằng chỉ các nhóm miền được chỉ định mới có quyền quản trị viên trên máy tính miền của bạn. Sau đó, nếu bạn thêm người dùng vào nhóm Quản trị viên theo cách thủ công bằng cách sử dụng phần đính vào “Người dùng cục bộ và nhóm”, thì nhóm này sẽ tự động bị xóa vào lần tiếp theo khi chính sách được áp dụng. Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm
  7. Lưu chính sách và đợi cho đến khi nó được áp dụng trên máy trạm. Để áp dụng chính sách ngay lập tức, hãy chạy lệnh này gpupdate /force trên máy tính người dùng;
  8. Mở lusrmgr.msc snap-in trên bất kỳ máy tính nào và kiểm tra các thành viên nhóm Quản trị viên cục bộ. Chỉ munWKSAdmins nhóm sẽ được thêm vào nhóm này, trong khi những người dùng và nhóm khác sẽ bị xóa. Bạn có thể hiển thị danh sách quản trị viên cục bộ bằng cách sử dụng lệnh:net localgroup Administrators
Nếu chính sách này chưa được áp dụng trên máy tính trong miền, hãy sử dụng lệnh gpresult để chẩn đoán sự cố. Đồng thời đảm bảo rằng máy tính được đặt trong OU mà GPO được liên kết đến và kiểm tra các đề xuất từ ​​bài viết “Đối tượng chính sách nhóm không được áp dụng cho máy tính”.

Bạn có thể định cấu hình các điều kiện bổ sung (chi tiết) để nhắm mục tiêu chính sách trên các máy tính cụ thể bằng cách sử dụng bộ lọc GPO WMI hoặc Nhắm mục tiêu cấp mục .

Trong trường hợp thứ hai, hãy chuyển đến mục Thông thường và kiểm tra Nhắm mục tiêu cấp mục . Nhấp vào Nhắm mục tiêu . Tại đây, bạn có thể chỉ định các điều kiện khi chính sách sẽ được áp dụng. Ví dụ:tôi muốn chính sách thêm nhóm quản trị viên chỉ được áp dụng cho các máy tính Windows 10 có tên NetBIOS / DNS không chứa adm . Bạn có thể sử dụng các tùy chọn lọc của riêng mình.

Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm

Không nên thêm các tài khoản người dùng cá nhân vào chính sách này. Tốt hơn là sử dụng các nhóm bảo mật tên miền. Trong trường hợp này, để cấp đặc quyền quản trị viên cho một nhân viên hỗ trợ kỹ thuật khác, chỉ cần thêm họ vào nhóm miền là đủ (bạn sẽ không cần phải chỉnh sửa GPO).

Quản lý Nhóm quản trị viên cục bộ bằng Nhóm bị hạn chế

Nhóm bị hạn chế chính sách cũng cho phép thêm nhóm miền / người dùng vào nhóm bảo mật cục bộ trên máy tính. Đây là một phương pháp cũ hơn để cấp các đặc quyền của quản trị viên cục bộ và hiện nay ít được sử dụng hơn (nó kém linh hoạt hơn so với phương pháp Tùy chọn Chính sách Nhóm).

  1. Mở GPO ở chế độ chỉnh sửa;
  2. Mở rộng phần Cấu hình máy tính -> Chính sách -> Cài đặt bảo mật -> Nhóm bị hạn chế ;
  3. Chọn Thêm nhóm trong menu ngữ cảnh; Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm
  4. Trong cửa sổ tiếp theo, nhập Quản trị viên và sau đó bấm OK; Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm
  5. Nhấp vào Thêm trong Thành viên của nhóm này và chỉ định nhóm bạn muốn thêm vào quản trị viên cục bộ; Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm
  6. Lưu các thay đổi, áp dụng chính sách cho máy tính của người dùng và kiểm tra Quản trị viên cục bộ tập đoàn. Nó chỉ được chứa nhóm mà bạn đã chỉ định trong chính sách.
Chính sách này luôn luôn (! ) xóa tất cả các thành viên khác của nhóm quản trị viên cục bộ (được thêm theo cách thủ công hoặc sử dụng các chính sách hoặc tập lệnh khác). Nếu một số chính sách có cài đặt Nhóm hạn chế đang hoạt động cho máy tính, thì chỉ chính sách cuối cùng được áp dụng. Bạn có thể bỏ qua giới hạn này bằng cách thêm munWKSAdmins trước nhóm vào Nhóm bị hạn chế, rồi thêm nhóm này vào nhóm Quản trị viên.

Sử dụng GPO để Thêm một người dùng vào Nhóm quản trị cục bộ trên một máy tính cụ thể

Đôi khi bạn có thể cần cấp cho một người dùng đặc quyền quản trị viên trên máy tính cụ thể. Ví dụ:bạn có một số nhà phát triển thỉnh thoảng cần các đặc quyền nâng cao để kiểm tra trình điều khiển, gỡ lỗi hoặc cài đặt chúng trên máy tính của họ. Không nên thêm họ vào nhóm quản trị viên máy trạm trên tất cả các máy tính.

Để cấp đặc quyền quản trị viên cục bộ trên máy tính cụ thể, bạn có thể sử dụng lược đồ sau:

Ngay trong phần tùy chọn GPO (Cấu hình máy tính -> Tùy chọn -> Cài đặt bảng điều khiển -> Người dùng cục bộ và nhóm) của AddLocalAdmins chính sách đã tạo trước đó tạo một mục mới cho nhóm Quản trị viên với các cài đặt sau:

  • Hành động :Update
  • Tên nhóm :Administrators (Built-in)
  • Mô tả :“Add amuller to the local administrators on the mun-dev-wsk21 computer
  • Thành viên :Thêm -> amuller Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm
  • Trong Chung -> Nhắm mục tiêu , hãy chỉ định quy tắc này:“the NETBIOS computer name is mun—dev-wks24. ”Có nghĩa là chính sách này sẽ chỉ được áp dụng cho máy tính được chỉ định ở đây. Thêm người dùng vào Nhóm quản trị cục bộ thông qua Chính sách nhóm

Ngoài ra, hãy chú ý đến thứ tự các nhóm được áp dụng trên máy tính (Order Cột GPP). Cài đặt nhóm cục bộ được áp dụng từ trên xuống dưới (bắt đầu từ Order 1 chính sách).

Chính sách GPP đầu tiên (với cài đặt “Xóa tất cả người dùng thành viên” và “Xóa tất cả nhóm thành viên” như mô tả ở trên) xóa tất cả người dùng / nhóm khỏi các nhóm quản trị viên cục bộ và thêm nhóm miền đã chỉ định. Sau đó, các chính sách bổ sung dành riêng cho máy tính được áp dụng để thêm người dùng được chỉ định vào quản trị viên cục bộ. Nếu bạn muốn thay đổi thứ tự thành viên trong nhóm Quản trị viên của mình, hãy sử dụng các nút ở đầu bảng điều khiển GPO Editor của bạn.