Добавление локального админа в домене Поиск · Новая тема · Написать ответ
 

Есть тестовый домен. Есть 2 учетки: LocalAdmin и User. LocalAdmin состоит в группе Localadmins. В GPO так же создал Loacladmin GPO. там же в "Группы с ограниченным доступом" добавил группу Loacladmins, а внизу "Эта группа входит в:" добавил группу "Администраторы". Вроде бы все по мануалу. Все правильно.

Дальше. захожу на тестовой машине под учеткой LocalAdmin. UAC включен. Пытаюсь что-то выполнить с правами админа. Идет запрос на повышение прав. Вбиваю данные от Loacladmin но система не принимает. Почему? Ведь по идее Localadmin состоит теперь у нас в локальных админах. Что-то с правами админа можно выполнить лишь в том случае, если пользователя LocalAdmin добавлю в группу Domain Admins. А это не подходит. Если его добавить в группу Администраторы, то тоже не проходит повышение прав.

А теперь что мне именно нужно. Будет группа пользователей с урезанными правами в группе Users. Будет 2-3 учетки техподдержки, которые будут локальными админами (состоять в группе LocalAdmins), у которых должна быть возможность на месте решать те или иные проблемы используя свои учетки (ставить софт, проверять настройки сети, запускать CMD от админа и т.д.). UAC при этом должен быть включен. А при запросе на повышение прав они вбивали бы свои учетки.

3 день перечитываю до дыр мануалы. Вроде все делаю как описано. Но UAC не пускает. Пропускает только учетку Administrator.

Еще один способ это через "Конфигурация компьютера" "Параметры панели управления" "Локальные пользователи и группы" добавлять наших Localadmin. Но как я понял это только для систем Windows 7. А в парке еще остались XP. Поэтому этот метод не подойдет.

Вопрос. Что не так я делаю в GPO, что UAC меня не пропускает. Отключение UAC не вариант.

Это вы его в локальную группу машины добавляете или нет?
1. покажите отчет (вкладка "параметры") объекта групповой политики.
2. удостоверьтесь что политика применена на компьютере (rsop.msc или gpresult, в rsop удобно смортреть ошибки применения, если таковые имеются).

1. Прикрепил скрин
2. Запустил rsop. В разделе Группы с ограниченными правами действительно ошибка. В Winlogon есть строки с ошибками

и

Группа называется "Администраторы", соответственно в поле "входит в группы" нужно вписать: "BUILTIN\Администраторы" - точно так, но без кавычек.

nokogerra
А разве проверка не по SID идет?

Вы попробовали так, как я указал?

Да. Добавил именно BUILTIN\Администраторы. Далее gpupdate /force. Перезагрузка. В логе теперь ошибка

Обратите внимание на kb microsoft: https://support.microsoft.com/kb/2000705?wa=wsignin1.0, http://support.microsoft.com/kb/974639, http://support.microsoft.com/kb/324383. Разумеется, что перед любыми манипуляциями с объектами групповых политик, нужно сделать резервную копию оных.

Сделал иначе. В Группах с ограниченным доступом добавил "Администраторы". А уже в них в графе "Члены этой группы" добавил "Localadmins".
Да, знаю, что так удаляются все локальные админы, кроме родной учетки Админа. Но в принципе мне это подходит, так как других админов, кроме тех, что в группе LocalAdmins, у меня не будет.

А так по ссылкам прошелся. Мне не помогли. KB974639 не поставился. Как я понял он уже в SP1 уже внедрен. А ошибка получается выскакивает потому что у меня на локальной машине нет/не создалась группа Local admins?

Убедитесь, что у сотрудников техподдержки имеются две учётные записи (стандартная и привилегированная), затем выключайте UAC везде.
Обучите их все ежедневные задачи выполнять от лица стандартной учётной записи, привилегированную применять по доказанной необходимости.

WindowsNT
Все же UAC мне кажется нужен. А учетка будет использоваться как раз при необходимости. Установка софта в единичных случаях (когда нет смысла это делать через GPO) например.