Автор Тема: Временный доступ в группу Администраторы  (Прочитано 24322 раз)

Far2k

  • Новичок
  • *
  • Сообщений: 6
  • Репутация: 0
    • Просмотр профиля
Доброго времени суток коллеги!

Стоит следующая задача.
Есть сотрудник, которому предоставляется временный доступ к серверу, в группу администраторов.
Хочется немного автоматизировать процесс, потому что добавив его в локальную группу админов, постоянно забываем его оттуда убрать.

Тестово была создана группа с ограниченным доступом, членами этой группы были назначены все нужные группы админов.
Соответственно всех остальных выбрасывает из группы администраторов.
Но когда добавляем сотрудника локально в группу Администраторов, то его выбрасывает только если прописать gpupdate /force на сервере.
Просто gpupdate не дает результатов, а я так понимаю что при обновлении политик, как раз и происходит gpupdate, без ключика /force.

Собственно вопрос, это я где-то ошибся, или это задумка MS такая?
Теоретически я могу сделать задачу, каждый час выполнять gpupdate /force, но пока не хочется городить костыли.

P.S.: Может быть есть другое решение, за подсказку был бы очень благодарен. Основная цель сотрудника, это изменение у пользователей в закладке "Выходящие звонки" (Dial-in) некоторых параметров. К сожалению в оснастке RSAT эта вкладка отсутствует напрочь.

itpro

  • Administrator
  • Sr. Member
  • *****
  • Сообщений: 444
  • Репутация: 204
    • Просмотр профиля
В Windows Server 2016 появилась фича Временное членство в группах Active Directory
Если есть такая возможность, добавьте новый DC на 2016 и обновите версию схемы AD до 2016.

По поводу групповой политикой Restricted Groups ( Computer Configuration\Policies\Windows Settings\Security Settings\Restricted Groups). Вы настраиваете локальную или доменную политику?

Если ваша задача дать пользователю править атрибуты в AD - то достаточно будет делегировать соответствующие права на OU с пользователями, а не давать ему права администратора.

Far2k

  • Новичок
  • *
  • Сообщений: 6
  • Репутация: 0
    • Просмотр профиля
К сожалению 2016 не рассматривается в связи с лицензией и бюджетированием, но функционал уже радует )

Настраиваю доменную политику.
К сожалению как я уже писал, эти атрибуты не доступны для правки даже если пользователю делегировать полный доступ на OU.
Почему-то по версии MS, закладка Dial-in доступна только с контроллера.

Меня просто интересует почему не выбрасывает из Restrikted Group по обновлению политики раз в час, проверил на локальной машине, тоже самое, выбрасывает только если прописать ключит /force. Но благо пользовательские компьютеры перезагружаются намного чаще чем контроллер )

 

Related Topics

  Тема / Автор Ответов Последний ответ
6 Ответов
146871 Просмотров
Последний ответ 20 Февраль 2014, 09:51:54
от evgen80
1 Ответов
79701 Просмотров
Последний ответ 16 Июнь 2016, 08:42:40
от itpro
7 Ответов
86544 Просмотров
Последний ответ 03 Апрель 2017, 14:15:54
от S-Pro
0 Ответов
18824 Просмотров
Последний ответ 18 Февраль 2017, 04:57:09
от Cahes
14 Ответов
43385 Просмотров
Последний ответ 24 Июль 2018, 09:20:18
от itpro