В чем разница между администратором и администратором домена?

Question

[Данил]

Окончательно запутался в правах доступа в домене. Как правильно настраивать доступ для эникеев, чтобы они могли настроить клиентский ПК который уже в домене, но не имели доступа к контролеру домена? Какие есть best practices?

Answer 1

[res2001]

best practices такой - эникеи вообще ничего у себя не должны сами иметь право устанавливать и настраивать (ну разве что обои сменить и скорость дабл клика мышки и то не факт). С помощью групповых политик расставляйте софт, делайте настройки безопасности и т.д. и т.п.

В АД администратор домена является и локальным админом рабочих станций.
Если хотите, чтоб сами юзера имели право себе что-то ставить и настраивать, то можно:
1.назначить на подразделение, например, админа из состава подразделения, тогда он сможет под своей учеткой управлять компами в подразделении.
2.Завести на компах локального админа и дать юзерам пароль от него. Но это плохой вариант.

Comments

[Ульрих]

3) Добавить доменного пользователя в ЛОКАЛЬНУЮ группу Администраторы.

Answer 2

[Максим Гришин]

Создать группу Local admins, создать групповую политику, которая будет добавлять эту группу в локальные администраторы, применить её на OU где лежат все УЗ обычных компов. В группу пихать учетки эникеев. Профит.