как зайти локальным администратором на доменном компьютере

Пользователь домена — локальный администратор

Иногда бывает нужно иметь права локального администратора на серверах или рабочих станциях. Например для того, чтобы сотрудники Help Desk могли администрировать только рабочие станции или для предоставления доступа внешнему администратору только к администрируемому им серверу.

Для этого можно сделать пользователя домена локальным администратором нужных серверов или рабочих станций.
Чтобы это сделать:
В оснастке Active Directory — Пользователи и компьютеры (dsa.msc) — создаем группу которая будет иметь права локальных администраторов (назовем ее HelpDesk).

После этого в этой же остнастке создадим подразделение и перенесем нужные рабочии станции в него.

Теперь переходим к оснастке Управление групповыми политиками (gpedit.msc)
Находим в левой колонке созданное подразделение->нажимаем правой клавишей мыши->Создать объект групповой политики в этом домене и связать его…

Даем понятное имя новой групповой политике и нажимаем ОК.
Политика создана. Теперь в нее нужно добавить нужные параметры.

Нажимаем на нем правой клавишей мыши->Изменить…

Переходим:
Конфигурация компьютера->Политики->Конфигурация windows->Параметры безопасности->Группы с ограниченным доступом

В правой части опять нажимаем правой клавишей мыши->Добавить группы

Добавление группы

Свойства

Политика готова

Остается только дождаться применения политики или применить ее вручную.

Заказать создание и поддержку безопасной IT-инфраструктуры любой сложности

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Источник

Как зайти локальным администратором на доменном компьютере

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Например, имеется user@domain.com. В домене он обладает правами пользователя и по умолчанию является пользователем на своей машине. В локальные админы через «Локальные пользователи и группы» его не добавить, т.к. отображается только контейнер «Локальные пользователи и группы», но не AD. В AD в свойствах машины есть поле «управляется». Я добавлял пользователя user@domain.com, но на своей машине он все равно оставался урезан в правах. Как сделать user@domain.com админом на своей машине?

Ответы

Добавляется очень просто.

1. Зайдите на машину под учетной записью с АДМИНИСТРАТОРСКИМИ правами.

3. Откройте группу «Администраторы».

4. Нажмите кнопку «Добавить».

5. Нажмите кнопку «Размещение».

8. Выбираем нужную учетную запись (можно нажать клавишу CTRL и удерживая ее последовательно выбрать несколько записей).

Вот и вся процедура (применительно к Windows XP).

Источник

Вход на доменный компьютер под локальной учетной записью

В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.

Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.

Type domain name\domain user name to sign in to another domain.
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain )

Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя

Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.

К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.

Теперь после .\ осталось набрать имя локальной учетной записи и пароль.

Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.

Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.

Источник

Как зайти локальным администратором на доменном компьютере

Для доменного пользователя возможно дать права локального администратора на компьютере. Сделать это не сложно.

Заходим под доменным пользователем на компьютере, где мы будем давать права локального администратора.

Правой клавишей мыши на «Этот компьютер» и в появившемся меню выбираем «Управление»

Далее вводим логин и пароль администратора домена

В появившемся окне выбираем «Локальные пользователи», далее «Группы» и в меню справа выбираем «Администраторы».

Далее нажимаем «Добавить» и добавляем доменного пользователя.

Нажимаем «ОК» и перезагружаем компьютер для применения изменений. Таким образом мы добавляем доменного пользователя в локальные администраторы компьютера. Теперь он может делать на компьютере такие же действия, как и локальный администратор.

Что и как делать можно также посмотреть здесь:

Источник

Предоставление прав локального администратора на машинах домена пользователю

Поставили задачу: обеспечить нескольким пользователям домена права локальных администраторов на ряде компьютеров домена, для возможности установки программ, оборудования, например, локальных принтеров. По-умолчанию, администратор домена является и локальным администратором компьютеров, включенных в домен. Но давать права или пароль от учетной записи администратора домена, пусть даже продвинутому пользователю, пожалуй, худший из возможных вариантов. Ходить, и в ручную добавлять выбранных пользователей на каждую рабочую станцию, тоже не вариант.

В итоге остановился на достаточно гибком решении при помощи групповых политик.

Запускаем оснастку «Active Directory — пользователи и компьютеры» и создаем глобальную группу безопасности. Для ясности назовем ее «Администраторы локальных машин»

Далее, запускаем оснастку «Управление групповой политикой» и создаем новый объект групповой политики. Для ясности, назовем политику «Локальные администраторы (PC)» /я обычно помечаю, на что действует та или иная политика. В данном случае PC — на компьютер/

Далее, изменяем созданную политику. Выбираем ветку: «Конфигурация компьютера» → «Конфигурация Windows» → «Параметры безопасности» → Группы с ограниченным доступом

И выбираем Добавить группу…

При добавлении группы указываем ранее созданную группу «Администраторы локальных машин»

Далее добавляем запись в нижней части «Эта группа входит в:»

Указываем группу «Администраторы»

Жмем Ок. Политика создана.

Можно посмотреть политику перейдя на вкладку «Параметры»

Как видно, политика применяется к компьютеру и включает группу «домен\Администраторы локальных машин» во встроенную группу локальных администраторов компьютера.

Теперь, можно создать подразделение, например, «Рабочие станции», поместить туда компьютеры, для которых необходимо применить политику

После этого следует назначить подразделению созданную нами политику.

В итоге, после применения политики, те пользователи, которые находятся в группе «Администраторы локальных машин» станут локальными администраторами на компьютерах, входящих в данное подразделение. При этом в домене они могут оставаться обычными пользователями.

Такое решение удобно тем, что при необходимости можно легко изменить список лиц с правами локального администратора или включать/отключать существующий список по мере необходимости.

Как видно из примера, все достаточно просто и, надеюсь, понятно.

ВАЖНО. Используя данный метод, появляется возможность входа на сервера с такой учетной записью.
Данный вопрос изучается.

Источник