没有域管理员权限的域安装权限

时间:2018-12-05 19:18:55

标签: active-directory windows-server-2012-r2

首先,我是一名新的Jnr服务器技术员。

我需要对用户帐户施加什么权利,以使我们的技术被允许在PC上安装应用程序,但无法登录服务器,但他们仍然需要能够重置解锁AD帐户,添加到域等。

我们的整个环境都在 Windows 10 Server 2012 R2 上。

Microsoft Spiceworks 建议启用本地管理员权限,但对我的用户来说这很危险。

我们有 2个具有域管理员权限的通用帐户,并且怀疑“某些” 用户正在使用它来破坏环境。

我需要阻止/控制我们的技术人员和/或通用帐户,才能通过RDP登录服务器。

2 个答案:

答案 0 :(得分:0)

  

Microsoft和Spiceworks建议启用本地管理员权限,但是对我的用户来说这很危险。

您将您的技术人员本地管理员授予工作站,而不是用户。如果您有一个包含所有技术的安全组,则可以将该安全组添加到每个工作站的Administrators组中。您可以在组策略中执行此操作。

答案 1 :(得分:0)

您可以通过组策略将安全组添加到本地PC,并确保技术人员属于该安全组,然后他们可以使用用户PC上的“运行方式”选项来安装应用。同样,您可以在AD中使用安全组,以允许技术人员在其本地计算机上具有ADUC,以便他们可以执行重置的解锁等。并确保这些组中没有一个具有域管理员权限,以允许他们将RDP发送到任何服务器。如果您对此进行一些谷歌搜索,应该到达想要的地方。