Как ограничить вход пользователей на компьютеры в однодоменной сети?

Question

[Михаил Савин]

Было:

Ситуация следующая (все организовано на виртуалках):
Имеем сервер Main-First (и сервер Main-Double дублирующий его) и имеем еще некоторое количество контроллеров поддоменов на данном сервере;
Все организовано через Active Directory. На контроллерах установлен Windows Server 2008 R2.
Необходимо:
1. Организовать возможность создания администраторами поддоменов учеток пользователей/компьютеров в подвластных им контроллерах поддоменов;
2. Запретить возможность входа пользователей из одного поддомена в других, т.е. имея поддомен moskva.kontora.ru и пользователя в нем Vasya Pupkin (vpupkin@moskva.kontora.ru) запретить ему и ему подобным возможность входить на компьютеры (в случае его физического присутствия там) поддомена saratov.kontora.ru
3. Сделать так, чтобы при необходимости была возможность ручного разрешения такого входа Администратором контроллера леса;

Стало:
Лес: kontora.ru
Контроллеры домена:
main-f.kontora.ru - главный основной - виртуалка
main-d.kontora.ru - главный резервный - виртуалка
moskva-f.kontora.ru - московский офис - главный - виртуалка
moskva-d.kontora.ru - московский офис - резервный - виртуалка
norilsk.kontora.ru - норильский офис - физический

С горем пополам пересены учетки пользователей.
Вопросы:
1. Как лучше добавлять офисные серверы: как контроллер домена или как контроллер поддомена?!
2. Как перенести учетки компьютеров?
3. Как перенести группы пользователей?
4. Как и какие именно групповые политики настроить таким образом, чтобы Администратор Московского офиса мог рулить только Московскими пользователями и компами (создание, изменение и управление), при этом не имел возможности изменить что-то других городах?

ЗЫЖ Уже столько прочитал по АД и групповым политикам, что в голове каша и я уже, честно говоря, запутался во всем... =)

Comments

[Михаил Савин]

@Slipeer попытаюсь разъяснить как можно понятнее (с разъяснениями у меня вечные проблемы так что сорри если что)
Суть такова:
Сейчас в других городах пользователей создает админ москвы и все учетные записи висят на главном домене (kontora.ru). Соответственно и заходить они могут на любом поддомене (в любом городе на любую машину). Мне необходимо сделать так, чтобы пользователей создавали администраторы в городах таким образом чтобы пользователи не могли зайти в чужом городе без разрешения администратора домена kontora.ru.
На макете домены moskva.kontora.ru и kontora.ru виртуальные (как и планируется организовать в дальнейшем).

[Slipeer]

@JTProg т.е. вы уже сделали многодоменный лес и он в продакшене?

[Михаил Савин]

@Slipeer слава Богу все пока на этапе проекта =)

[Slipeer]

@JTProg тогда серьёзна задумайтесь над реализацией, которую я предложил ниже - это проверенная временем практика.
У Вас будет 2-3 настоящих администратора домена и куча "недоадминов" по подразделениям, которым только делегированы права на ou.

[Михаил Савин]

@Slipeer, я с этой схемой уже согласился и перешел к ее реализации на виртуалках.

[Михаил Савин]

@Slipeer мы можем еще как-то связаться кроме как тут?!

[Михаил Савин]

Я просто уже начинаю путаться в терминологии...

[Slipeer]

@JTProg это на текущий момент - лучший вариант. Сами два-три года назад стояли перед выбором "многодоменный лес или разграничение прав по ou?". Прислушались к рекомендациям MS и выбрали второе. За время эксплуатации уже не раз убеждался, что приняли правильное решение.

[Slipeer]

@JTProg будут конструктивные вопросы - у меня ящик на гугле со здешним логином совпадает, я его 3-4 раза в неделю проверяю.

[Михаил Савин]

@Slipeer, могли бы вы более подробно расписать предложенный вариант?! Мне очень проблематично пока в голову лезуть понимания о групповых политиках и способе организации необходимого делегирования административных задач и привилегий пользователей...

Answer 1

[Slipeer]

Не уверен (негде посмотреть - у меня везде однодоменные леса)
в GPO Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Локальный вход в систему
Задаются пользователи и группы которым можно заходить в систему. По-умолчанию там локальные группы.
Составом локальных групп можно управлять через Group Policy Preferences (на XP требуется установка расширения для поддержки - на Vista и выше поддержка есть)
Если в каждом домене в локальных пользователях ПК будут только пользователи этого домена - другие не смогут входить.
Для пользователей из других доменов, которым надо дать доступ - можно в локальные пользователи заранее добавлять какую-нибудь дополнительную группу - надо дать доступ на вход в соседний домен - добавили в группу, надо забрать - удалили.

Администраторы леса по-умолчанию всегда будут иметь доступ везде - и это лучше не трогать.

P.S. А вообще, если Вы на стадии проектирования - задумайтесь - так ли Вам необходима многодоменная архитектура?

Comments

[Клёвый Админ]

По-молчанию доверие между доменами не подразумевает доверие на уровне пользователей. Для предоставления доступа пользователям из поддомена (соседнего домена \ леса) администратор должен напрямую указать этого пользователя в группе с привилегиями "Пользователи домена" или выше.

Зачем спрашиваете если проверить негде? Поднимите тестовый стенд и изучайте особенности реализации АД.

[Клёвый Админ]

www.litmir.net/bd/?b=182195 хорошая книга.

[Михаил Савин]

У меня рабочие машины пользователей на семерке все + несколько на восьмерке.
Это возможно как-то автоматизировать?! У меня задача перенести учетные записи пользователей/компьютеров с одного сервера на другой с сохранением имен серверов, контроллеров и доменов и разграничить именно таким образом их права входа.

[Клёвый Админ]

Хотя наврал, качество скана не очень. Ищите аналогичную в лучшем качестве или приобретите в ближайшем магазине.

[Клёвый Админ]

@Slipeer ссори, перпутал с автором поста. @JTProg прикрепите скриншоты.

[Михаил Савин]

@ifaustrue скриншоты чего именно вам необходимо?!

[Slipeer]

@JTProg автоматизировать можно практически всё.
Настройки, о которых я написал позволяют контролировать кто будет иметь право локального входа в систему на ПК в домене посредством GPO. Прежде чем что-то в них менять - посмотрите как они работают, как настроено у Вас.

И всё-таки я не совсем понял насчёт вашей задачи - можно подробнее расписать? быть может подскажу более приемлемый для Вас вариант.

[Клёвый Админ]

@JTProg настроек групп, доверия и GPO (отчёт о изменениях). Ну и лучше опишите какая машина в каком домене создана. Думаю как раз в этом есть путаница. + присоединяюсь к @Slipeer

[Slipeer]

@JTProg тогда вам не нужен многодоменный лес.
Как реализуется:
1) В вашем домене для каждого города (филиала) создаёте OrganizationUnit (ou=moskow,dc=kontora,dc=ru и ou=saratov,dc=kontora,dc=ru)
2) В каждом таком OrganizationUnit создаёте ещё два OrganizationUnit - Computers и Users (так Вам в дальнейшем удобнее будет распределять политики и администрировать вообще)
3) Перемещаете пользоватеелей и компьютеры в соотвествующие контейнеры
4) Создаёте две группы Пользователи Moskow и Пользователи Saratov, наполняете их соотвествующими пользователями
5) Делаете групповую политику для Москвы и групповую политику для Саратова - каждая привязана к своему OrganizationUnit
6) В групповых политиках для городов настраиваете членство в локальной группе пользователей: вместо KONTORA\Пользователи - KONTORA\Пользователи Moscow и KONTORA\Пользователи Saratov соответственно. Администраторов не трогайте - оставьте как есть!!!!

PROFIT!

В дальнейшем - если надо чтобы в Саратове заводили только саратовских пользователей, а в Москве - московских - просто создаёте две группы "админов" и делегируете им права на соответствующие OU - таким "админам" даже не потребуется давать права администратора домена. что несомненный плюс в безопасности.

[Slipeer]

@JTProg только прежде чем реализовывать - два раза всё протестируйте - там много моментов где можно ошибиться с последующим простоем бизнеса.

Answer 2

[Клёвый Админ]

Коллега, ну вроде же стандартные настройки прав, в чём сложность? Звучит так, что по-дефолту всё так и работает.

Comments

[Михаил Савин]

Коллега, смею Вас заверить что у меня них**а не получилось(
Делалось все это дело на виртуалках (контроллер леса, контроллер поддомена для москвы), плюс добавлялись физический контроллер поддомена для Саратова и юзер-машина в саратовский поддомен добавлялась. Вот только что проверил - пользователь московский спокойно заходит на саратовский компьютер. ЧЯДНТ?!
ЗЫЖ Все настройки дефолтные!

[Клёвый Админ]

@JTProg думаю не верно (не по-дефолту) создано доверние между лесами доменами. Или же пользователи созданы с правами выше нужных.

Я не телепат, вы хоть скриншоты приложите =)