Bagaimana cara membuat "admin domain" terbatas yang tidak memiliki akses ke pengontrol domain?

Saya ingin membuat akun yang mirip dengan Admin Domain, tetapi tanpa akses ke pengontrol domain. Dengan kata lain, akun ini akan memiliki hak Administrator penuh untuk setiap mesin klien dalam domain, dapat menambahkan mesin ke domain, tetapi hanya memiliki hak pengguna terbatas ke server.

Akun ini akan digunakan oleh seseorang dalam jenis peran dukungan teknologi pengguna akhir. Mereka seharusnya memiliki akses penuh ke mesin klien untuk menginstal driver, aplikasi, dll ... tapi saya tidak ingin mereka di server.

Sementara saya mungkin bisa melempar sesuatu sendiri melalui kebijakan, itu mungkin akan berantakan jadi saya pikir saya harus bertanya: Apa cara yang tepat untuk melakukan ini?

Kami melakukan sesuatu yang mirip dengan ini di kantor terpencil kami. Pertama, buat grup untuk admin psuedo di domain. Dalam AD, delegasikan kontrol ke OU yang mungkin perlu mereka kelola (buat / hapus akun, atau mungkin setel ulang kata sandi, atau tidak sama sekali).

Kemudian gunakan Kebijakan Grup untuk menambahkan grup Anda ke grup administrator lokal di workstation dan server menggunakan Computer \ Windows Settings \ Security Settings \ Groups Restricted . Jangan menyebarkan kebijakan ini ke Pengontrol Domain OU atau OU yang mengandung server Anda.

Ini jelas tergantung pada memiliki AD yang dikonfigurasi dengan cara untuk memisahkan sistem klien dari server.

Ketika kami bergerak maju ke lingkungan Active Directory di mana UAC adalah fitur standar, Anda juga harus mempertimbangkannya.

Secara default saja Akun Administrator lokal dan anggota Admin Domain mendapatkan peningkatan otomatis dan ini diperlukan untuk banyak hal (menyambung ke berbagi admin jarak jauh adalah satu, tampaknya ini merupakan masalah dengan mengkonfigurasi MSMQ dan NLB juga, saya yakin ada yang lain) cukup dengan menempatkan grup baru ke dalam akun Administrator lokal mungkin tidak cukup.

Untuk menyiasatinya, Anda harus memodifikasi "Kontrol Akun Pengguna: Perilaku prompt elevasi untuk administrator dalam Mode Persetujuan Admin" Kebijakan Keamanan di bawah Kebijakan Lokal, Pengaturan Keamanan Lokal, dan atur nilainya menjadi "Tanpa Prompt" . Mudah-mudahan Microsoft akan datang dengan cara yang lebih ditargetkan dalam melakukan ini di masa depan (atau memperbaiki kasus tepi di mana permintaan persetujuan yang diperlukan berlaku AWOL).

Coba ini. Ini adalah cara termudah yang saya temukan sejauh ini: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx Pada dasarnya, klik kanan pada folder 'KOMPUTER' dalam AD dan pilih 'Delegasi Kontrol'. Ikuti wizard. Bekerja di semua versi server.

Siapkan grup izin, buat komputer yang Anda inginkan agar dia dapat mengatur anggota grup itu, dan beri dia kontrol penuh atas hal-hal yang ada di grup itu.

Cukup mudah. Active Directory sebenarnya dibuat untuk masalah semacam itu. Cukup buat folder grup baru, dan ubah pengaturan keamanan di bawah properti.