Сервер Windows Server 2008 R2, рабочие станции Windows 7.
Требуется, чтобы аккаунт HelpDesk был локальным администратором на рабочих станциях домена, но не на серверах. Для этого создается следующая групповая политика и применятся на контейнер с рабочими станциями.
Эта политика работает, доменный аккаунт HelpDesk, как и встроенный локальный Администратор, являются администраторами на компьютерах пользователей.
Затем возникает задача дать некоторым пользователям права администратора на их машинах. Просто добавить их в локальную группу «Администраторы» нельзя, потому что вышеуказанная групповая политика постоянно применяется и жестко задаёт список этой группы, убирая все изменения.
Рассматривается вариант отказаться от применения политики на интересующие нас компьютеры и дать админские права учетной записи пользователя. Но тогда теряется контроль над локальный группой «Администраторы». Самоуверенный пользователь легко может удалить оттуда всех, кроме себя, а нам бы этого не хотелось.
Рассматривается вариант когда все пользователи, которые должны быть локальными админами на своих компьютерах, добавляются в одну группу безопасности, эта группа становится членом группы «Администраторы» на всех рабочих станциях, а пользователям-админами вводится ограничение «Вход на…» только их компьютеры. Однако и этот вариант не слишком удобен, ведь приходится каждый раз править свойства пользователя, когда ему надо сменить компьютер или залогиниться с другой машины.
Рассматривается вариант, что для каждого пользователя-администратора создаётся отдельная групповая политика, в которой пользователь добавлен в группу «Администраторы», и эта политика применяется только на компьютеры этого пользователя. Этот вариант принимается и начинается работа по этой схеме. Однако быстро выясняется, что создавать отдельный контейнер и GPO на каждого пользователя-администратора быстро надоедает, да и количество групповых политик начинает быстро расти и захламляет список политик. В общем, вариант работает, но хотелось бы чего-нибудь получше.
Задача формулируется так, чтобы HelpDesk всегда был членом группы «Администраторы», но пользователя можно было сделать и оставить админом на своем компьютере без какой-либо правки AD или GPO.
Возникает идея использовать свойство «Групп с ограниченным доступом», когда вместо жесткой установки списка администраторов, мы просто добавляем определенную группу безопасности к группе «Администраторы» (отдельного пользователя добавить нельзя).
Создается глобальная группа безопасности «Локальные администраторы», туда добавляются Администраторы Домена и HelpDesk. Делается вот такая политика:
Политика вроде бы работает, по крайней мере в консоли «Управление компьютером» группа «Локальные администраторы» совершенно верно находится в группе «Администраторы». Однако возникает проблема.
Если зайти под обычным пользователем и попробовать запустить программу (или ввести изменения в настройки ОС), то выдаётся диалог UAC. При попытке ввести учетные данные пользователя HelpDesk, который входит в группу «Локальные администраторы», которая входит в группу «Администраторы», выдаётся ошибка «Операция требует повышения» и заново появляется запрос учетных данных. Если ввести учетные данные обычного локального Администратора, то все проходит удачно. Более того, если полноценно залогиниться под учеткой HelpDesk (а не пытаться запускать ПО от ее имени), то администраторские права отрабатываются без проблем и HelpDesk прекрасно все запускает.
Итак, вопросы к вам, уважаемые коллеги:
1) В чем может быть причина того, что не удается запустить программы от имени HelpDesk под другим пользователем?
2) Есть ли у вас какие-нибудь альтернативные идеи по упрощению схемы добавления пользователей в список локальных админов, с минимальными усилиями и без потери контроля надо локальной группой «Администраторы»?