Doménový uživatel a práva na local Admin

[ZAJDAN]

Ahoj,
potřeboval jsem na vyrané doménové uživatele delegovat práva lokálního Administrátora, aby mohli na své stanice instalovat a to jsem zařídil pomocí GPO/Restricted group.
Zpozoroval jsem ale,  že tím získali práva doménového Administratora což je nežádoucí.
Existuje způsob aby vybraní doménový uživatelé měli práva vztahující se pouze na jejich lokální stanice, ale neměli práva v rámci celé domény nebo minimálně je omezit na samotný doménový řadič?

děkuji

[Reklama]

[nocturne.op.15]

Práva domain admin nezískali, ale je to skoro nastejno pokud se daná oprávnění propagovala i na servery. U GPO je vždycky potřeba dávat si pozor na dědičnost! Hlavně neplácat všechny politiky bezhlavě do rootu domény, celé je to pak zbytečně zpomalené a dějí se v tom chyby.

Omez platnost politiky jen na stanice - buď ji namapuj na kontejner s počítačema, použij wmi filtr nebo bezpečnostní skupinu (nejhorší možnost).



Pokud mají mít oprávnění skutečně jen na jedné stanici a na ostatních ne, buď si k tomu něco muset napsat sám.
Buď nesmyslnou hromadu politik pro každý počítač zvlášť, nebo to ručně nastavit na každém počítači - nebo vyplodit nějaký script. Powershell který si bude sahat pro konfigurační data do SQL databáze pod účtem počítače je asi jediná dostatečně robustní možnost, kterou uživatel jen tak nerozebere, nerozbije a nezneužije. Bude v každém případě nutné sebrat uživatelům oprávnění přidávat počítače do domény apod., aby se jim zabránilo i jako lokálním adminům škodit dobře volenou lokkální akci jako je změna jména počítače a narušení vztahu důvěryhodnosti.


Jinak je celý tenhle koncept úplně špatně, neexistuje důvod, proč by uživatelé kvůli instalacím měli mít nějaká práva. Existují jen admini, neschopní obhájit si funkční bezpečnostní koncept, případně zajistit instalaci pomocí jiných mechanismů než je uživatelské poklikávání.

Nejlépe se osvědčilo nasazení SRP (https://technet.microsoft.com/cs-cz/library/cc782792(v=ws.10).aspx) které omezí veškerý neschválený software, vytvoření sady pravidel pro SRP, která pokryjí software používaný běžně, úplné odebrání oprávnění uživatelům. Pokud mají mít možnost si něco isntalovat, tak pouze aplikace publikované z AD - tedy ty, které admin připraví a uživatel si je ad-hoc nainstlauje když potřebuje. Tenhle koncept funguje i ve firmách, kde byli zvyklí instalovat si kdejaké vývojářské hovno, jde jen o to si to prosadit. NAjednou zmizí 60% uživatelských požadavků na servis - jen se tu a tam někdo ozve, že by potřeboval nějakou novou aplikačku.

[j]

...aby mohli na své stanice instalovat...

Preju hodne uspechu pri cisteni nelegalniho, zavirovaneho, deraveho a jineho SW a samosebou taky prijemne mesice travene reinstalaci zborenych widli.

User naprosto NIKDY nema co kam instalovat, proste NIKDY. Dokonce nema ani mit opravneni spoustet cokoli co neni nainstalovany a tudiz schvaleny a overeny.

[MP]

Jinak je celý tenhle koncept úplně špatně, neexistuje důvod, proč by uživatelé kvůli instalacím měli mít nějaká práva. Existují jen admini, neschopní obhájit si funkční bezpečnostní koncept, případně zajistit instalaci pomocí jiných mechanismů než je uživatelské poklikávání.

Nejlépe se osvědčilo nasazení SRP (https://technet.microsoft.com/cs-cz/library/cc782792(v=ws.10).aspx) které omezí veškerý neschválený software, vytvoření sady pravidel pro SRP, která pokryjí software používaný běžně, úplné odebrání oprávnění uživatelům. Pokud mají mít možnost si něco isntalovat, tak pouze aplikace publikované z AD - tedy ty, které admin připraví a uživatel si je ad-hoc nainstlauje když potřebuje. Tenhle koncept funguje i ve firmách, kde byli zvyklí instalovat si kdejaké vývojářské hovno, jde jen o to si to prosadit. NAjednou zmizí 60% uživatelských požadavků na servis - jen se tu a tam někdo ozve, že by potřeboval nějakou novou aplikačku.

Jo, to urcite. Zrovna vyvojari pak neustale otravuji s novou aplikaci, novym updatem v ramci techto aplikaci.

[nocturne.op.15]

A to je důvod k plošnému povolení instalace bordelu? Podají request, administrátor schválí k instalaci novou verzi. U rozumně napsaných aplikací (které mají nějakou formu aktualizační služby) kolikrát stačí jen povolit aplikace podepsané certifikátem výrobce a tradá - aplikace se aktualizuje jak je potřeba.

A pokud někde někdo potřebuje něco hned a nedá s tím pokoj, jsou nastavené špatně procesy a je potřeba vyměnit management. To jde dělat u firmy s pěti lidmi.

Tenhle koncept jsem celkem úspěšně nasadil i u vývojářů, kteří pracují se Siemens TIA portal. Pokud někdo tuší co je to za bastl, je mu zřejmé že to potom už jde nasadit do jakéhokoli prostředí.

[Reklama]

[ZAJDAN]

Práva domain admin nezískali, ale je to skoro nastejno pokud se daná oprávnění propagovala i na servery. U GPO je vždycky potřeba dávat si pozor na dědičnost! Hlavně neplácat všechny politiky bezhlavě do rootu domény, celé je to pak zbytečně zpomalené a dějí se v tom chyby.

Omez platnost politiky jen na stanice - buď ji namapuj na kontejner s počítačema, použij wmi filtr nebo bezpečnostní skupinu (nejhorší možnost).

ja to udelal tak, ze jsem si v Active Directory Users na korenu domeny vytvoril New-> OragnizationUnit
do ni priradil vybrane Users
v GroupPolicyManagement ten vytvoreny GPO nalinkoval na tuto vytvorenou OrganizationUnit

rád bych zkusil tu variantu se zmíněným kontajnerem s počítačema
bude tedy postup stejný, jen s tím, že do te nové Unit namísto user accounts dam vybrané Computers ?

prosím o pochopení, mám jednoho uživatele, který dostal důvěru a na svém počítači může instalovat, a je si sám zodpovědný za případné škody

[nocturne.op.15]

bude tedy postup stejný, jen s tím, že do te nové Unit namísto user accounts dam vybrané Computers ?

Ano. Ale všichni uživatelé budou admini na všech těch počítačích. To není zrovna značka ideál. Pokud toho není moc (řekněmě do padesáti), klidně bych vytvořil politiku pro každý počítač zvlášť, kde budou vyjmenovaní admini pro daný stroj. Je to pořád děs, ale o něco menší...

[ZAJDAN]

Ano. Ale všichni uživatelé budou admini na všech těch počítačích. To není zrovna značka ideál. Pokud toho není moc (řekněmě do padesáti), klidně bych vytvořil politiku pro každý počítač zvlášť, kde budou vyjmenovaní admini pro daný stroj. Je to pořád děs, ale o něco menší...

jde o jednoho uživatele max 2
metodou o které mluvíme získají Admin práva pouze na těch přiřazených počítačích?

[narg]

A to je důvod k plošnému povolení instalace bordelu? Podají request, administrátor schválí k instalaci novou verzi. U rozumně napsaných aplikací (které mají nějakou formu aktualizační služby) kolikrát stačí jen povolit aplikace podepsané certifikátem výrobce a tradá - aplikace se aktualizuje jak je potřeba.

A pokud někde někdo potřebuje něco hned a nedá s tím pokoj, jsou nastavené špatně procesy a je potřeba vyměnit management. To jde dělat u firmy s pěti lidmi.

Tenhle koncept jsem celkem úspěšně nasadil i u vývojářů, kteří pracují se Siemens TIA portal. Pokud někdo tuší co je to za bastl, je mu zřejmé že to potom už jde nasadit do jakéhokoli prostředí.

Chtěl bych pracovat ve firmě co máte ve správě. Být vývojář, nemít admina, nemít volbu operačního systému a ke všemu aby mě admin diktoval co mám vlastně používat za software ke své práci. To je v podstatě něco jako tady máš lopatu, je mi jedno jak jsi s ní efektivní, ale hlavně mi vykopej díru  . Aneb jak z kreativní práce udělat dělnickou profesi.

[Cek]

Pokud jsou to 2-3 lidi a maji mit stejna prava, tak bych v AD udelal normalne skupinu Local_Admins a dal je do ni.
Pak bych udelal OU, kam bych dal pocitace, na ktere maji mit pristup jako admini
A pak bych udelal GPO na te OU, ktera prida AD skupinu Local_Admins do lokalnich administratoru
No a potom uz jenom kaficko....

Pokud ma mit kazdy z nich lokalniho admina na jinych strojich, tak to bude mnohem vic klikani ), brrrr
To bych je tam snad radsi pridal rucne a nekde si udelal Excel se seznamem lidi a compu kam maji mit pristup.

[ZAJDAN]

panové prosím Vás o jednu věc, neřešte tu filozofii kolem toho, "proč a protože"
prostě to tak někdo chce, a bud to jde technicky nastavit a nebo nejde a pokud ano, tak to mne zajímá jak

[ZAJDAN]

Pokud jsou to 2-3 lidi a maji mit stejna prava, tak bych v AD udelal normalne skupinu Local_Admins a dal je do ni.
Pak bych udelal OU, kam bych dal pocitace, na ktere maji mit pristup jako admini
A pak bych udelal GPO na te OU, ktera prida AD skupinu Local_Admins do lokalnich administratoru
No a potom uz jenom kaficko....

díky za tip
presneji receno vybrany uzivatel by mel mit AdminPrava pouze na svem pocitaci

[nocturne.op.15]

presneji receno vybrany uzivatel by mel mit AdminPrava pouze na svem pocitaci

GPO nezná nic jako "svůj počítač" - GPO se aplikují na principu prosté filtrace. Když uděláte GPO, které dělá adminem Frantu a nalinkujete tuhle GPO na kontajner s počítači, bude Franta adminem všude. Tečka. Když tejnou GPO vztáhnete na kontajner, ale omezíte scope na počítač "FRANTUV_PC", bude franta adminem na tomhle počítači.

Sečteno a podtrženo - do jedné politiky nic takového nenacpete.

[nocturne.op.15]

Chtěl bych pracovat ve firmě co máte ve správě. Být vývojář, nemít admina, nemít volbu operačního systému a ke všemu aby mě admin diktoval co mám vlastně používat za software ke své práci. To je v podstatě něco jako tady máš lopatu, je mi jedno jak jsi s ní efektivní, ale hlavně mi vykopej díru  . Aneb jak z kreativní práce udělat dělnickou profesi.

Pokud chcete anarchii, pracujte si na svém počítači a natahejte si do něj co chcete.

Normální funkční podnik si z IT nenechá dělat cochcárnu. Admin si hlídá, co kde kdo instaluje, vývojáři se zabývají tím co mají a ne instalací nesmyslů. A ano, vývojář je lopata, nic víc. Pokud chce novou násadu, je v zájmu firmy aby jí pokud možno ASAP dostal - ale rozhodně není placený za to, aby si pro ni někam jel nebo si ji instaloval. Od toho jsme my, admin-lopaty. Kdo má mozek v hlavě, ten tuhle spolupráci pochopí a naučí se ji efektivně využivat. Limituje a zdržuje to jen exoty, kteří mají potřebu chcát proti větru a ještě se stavět na zadní.

[Lol Phirae]

presneji receno vybrany uzivatel by mel mit AdminPrava pouze na svem pocitaci

Win+R - lusrmgr.msc na tom konkrétním počítači. Na GPO se vyser, vyrobíš akorát obří díru, což už se ti ostatně povedlo.