Автор Тема: Как запретить вход администратора домена на сервер (Прочитано 4690 раз)

DedMagarbI4 · « : 14 января 2015, 10:47:28 »

Есть группа людей которые обладаю правами админов. домена.
Есть группа серверов. Этими серверами разрешено управлять только 2ум конкретным людям, остальным доступ должен быть запрещен.
Вопрос: как запретить заходить удаленно на сервера определенным админам домена?

Laska · « **Ответ #1 :** 14 января 2015, 10:55:06 »

DedMagarbI4 · « **Ответ #2 :** 14 января 2015, 10:58:18 »

но там же пишут, что мол по дефолту администраторы уже имею доступ?

Laska · « **Ответ #3 :** 14 января 2015, 11:09:39 »

Цитата: DedMagarbI4 от 14 января 2015, 10:58:18

но там же пишут, что мол по дефолту администраторы уже имею доступ?

может это локальные администраторы имеются в виду??

Fray · « **Ответ #4 :** 14 января 2015, 11:20:29 »

Исключить из локальных администраторов администраторов домена и дать доступ явно нужным людям.

risc · « **Ответ #5 :** 14 января 2015, 22:36:27 »

если админам домена запретить заходить на сервера удаленно, что мешает запустить оснастку? для чего им заходить если права у них и так есть?
может стоит уменьшить кол-во админов домена?

ds0m · « **Ответ #6 :** 14 января 2015, 22:51:21 »

Цитата: risc от 14 января 2015, 22:36:27

может стоит уменьшить кол-во админов домена?

И тут логически стоит упомянуть про делегирование административных задач в AD.
Насколько я понимаю ситуацию, данного инструментария ТС-у более чем будет достаточно, для наведения порядка в домене.
Тестировали, проверяли. Удобно.
Более того, данный сценарий максимально снижает риски безопасности- выполнение операций обслуживание идет из-под специализированных учеток.

risc · « **Ответ #7 :** 14 января 2015, 23:13:11 »

ds0m, +много
давай дождемся ТС, может есть какая-то скрытая причина раздавать админов домена и запрещать удаленное подключение...

DedMagarbI4 · « **Ответ #8 :** 15 января 2015, 12:17:28 »

да тащем то нету ни каких скрытых причин. порядок надо наводить. самое печальное то, что прошлый админ, который навел весь этот бардак, сидит выше меня и ставит палки в колеса. будем пытаться.

Updated: 15 January 2015, 12:20:04

схема такая.
2 сисадмина. я и "старый" админ, он приходящий сейчас. у нас должны быть полные права.
7 хелпдесков. установка ОС, установка софта, установка сетевых настроек.

я просто с политиками никогда не работал, быстрое чтение мануалов приводит пока что только к путанице.

Retif · « **Ответ #9 :** 15 января 2015, 12:25:31 »

Цитата: DedMagarbI4 от 15 января 2015, 12:17:28

схема такая.2 сисадмина. я и "старый" админ, он приходящий сейчас. у нас должны быть полные права.
7 хелпдесков. установка ОС, установка софта, установка сетевых настроек.

И нафига кому-то права админа домена, кроме вас двоих?

DedMagarbI4 · « **Ответ #10 :** 15 января 2015, 13:12:53 »

Цитата: Retif от 15 января 2015, 12:54:13

И нафига кому-то права админа домена, кроме вас двоих?

ну вот такой вот бардак. буду исправлять, потому как есть личности которые любят полазить где не положено.

risc · « **Ответ #11 :** 15 января 2015, 13:26:00 »

DedMagarbI4, используй делегирование задач, как советовал ds0m

Retif · « **Ответ #12 :** 15 января 2015, 13:31:23 »

Цитата: DedMagarbI4 от 15 января 2015, 12:17:28

7 хелпдесков. установка ОС, установка софта, установка сетевых настроек.

Им прав юзеров более чем достаточно. Права локального админа на рабочие станции, плюс делегировать право добавлять машины в домен, если надо. Ну и остальное в то же духе, к дсому +1.

ds0m · « **Ответ #13 :** 15 января 2015, 13:34:01 »

Цитата: DedMagarbI4 от 15 января 2015, 13:12:53

ну вот такой вот бардак. буду исправлять, потому как есть личности которые любят полазить где не положено.

Осваивай групповые политики. Очень спасут и твои задачи позволит решить, причем быстро и просто.
Если совсем кратко - всех саппортов в одну группу безопасности.
Делегирование задач на контейнер с клиентскими компьютерами.
Политика на контейнер, дающая права локальных админов этой группе саппортеров.