Como criar um “administrador de domínio” limitado que não tem acesso aos controladores de domínio?

Estou procurando criar uma conta semelhante a um administrador de domínio, mas sem acesso a controladores de domínio. Em outras palavras, essa conta terá direitos totais de Administrador em qualquer máquina cliente no domínio, poderá adicionar máquinas ao domínio, mas terá apenas direitos de usuário limitados aos servidores.

Essa conta será usada por uma pessoa em um tipo de função de suporte técnico do usuário final. Eles devem ter acesso total às máquinas clientes para instalar drivers, aplicativos, etc ... mas eu não os quero nos servidores.

Embora eu provavelmente possa juntar algo por meio de políticas, provavelmente será uma bagunça, então imaginei que deveria perguntar: Qual é a maneira correta de fazer isso?

Fazemos algo semelhante a isso em nossos escritórios remotos. Primeiro, crie um grupo para os psuedo-admins no domínio. No AD, delegue o controle às UOs que eles talvez precisem gerenciar (criar / excluir contas ou talvez apenas redefinir senhas ou nada).

Em seguida, use a Diretiva de Grupo para adicionar seu grupo ao grupo de administradores locais nas estações de trabalho e servidores usando Computador \ Configurações do Windows \ Configurações de Segurança \ Grupos Restritos . Não implante esta política na UO dos controladores de domínio ou nas UOs que contêm seus servidores.

Obviamente, isso depende de ter um AD configurado de maneira a separar os sistemas clientes dos servidores.

À medida que avançamos nos ambientes do Active Directory, em que o UAC é um recurso padrão, você também precisa levar isso em consideração.

Somente por padrão A conta local do Administrador e os membros dos Administradores do Domínio obtêm elevação automática e isso é necessário para muitas coisas (conectar-se a compartilhamentos de administradores remotos é um, aparentemente é um problema com a configuração do MSMQ e do NLB também, tenho certeza de que existem outros) simplesmente colocar um novo grupo na conta local de Administradores pode não ser suficiente.

Para contornar isso, você deve modificar a Diretiva de Segurança "Controle de Conta de Usuário: Comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador" em Diretivas Locais, Configurações de Segurança Local e defina o valor como "Sem Prompt" . Esperamos que a Microsoft crie uma maneira mais direcionada de fazer isso no futuro (ou corrija os casos extremos em que o prompt de aprovação exigido será AWOL).

Tente isso. É a maneira mais fácil que encontrei até agora: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx Basicamente, clique com o botão direito do mouse na pasta 'COMPUTADORES' no AD e selecione 'Delegar controle'. Siga o assistente. Funciona em todas as versões do servidor.

Configure um grupo de permissões, faça com que os computadores que você deseja que ele seja capaz de administrar membros desse grupo e dê a ele controle total sobre as coisas que estão nesse grupo.

Bem direto. O Active Directory foi criado para esse tipo de problema. Basta criar uma nova pasta de grupo e alterar as configurações de segurança em propriedades.