Frage Wie entferne ich Benutzer aus der Gruppe Administratoren ohne Active Directory?


Kontext: Ich bin ein neuer Junior-Systemadministrator und habe eine kleine Büroarbeitsgruppe von etwa 12 Windows-Maschinen, Produktions- und Sicherungsdateiservern und einem SQL-Server geerbt. Alle Benutzerkonten auf dem Dateiserver sind Mitglieder der Administratorgruppe. Ich erkenne, dass dies eine Schwachstelle schafft. Zusätzlich möchte der Brass bestimmte Verzeichnisse auf dem Dateiserver für die allgemeinen Benutzer sperren.

Wie kann ich meine Benutzer aus der Gruppe "Administratoren" entfernen und sie in zwei Ebenen mit regulären Konten aufteilen, um Unannehmlichkeiten, Produktionsausfälle usw. zu vermeiden?

Ich bin für Automatisierung, wenn machbar, also habe ich keine Angst vor Scripting in .bat-Dateien oder Powershell, obwohl meine Powershell rostig ist und meine .bat-Scripting ist hacky.


6
2018-02-11 21:25


Ursprung




Antworten:


Sie sollten eine Domain einrichten.

  • Ernst. Ich würde nicht 3 Windows-Computer ohne eine Domäne (Active Directory) verwalten wollen, geschweige denn zwölf.
  • Wenn der Brass die Zugriffsebenen in bestimmten Verzeichnissen einschränken möchte, kann dies nur über Active Directory selbst auf "nur 12" Computern / Benutzern überschaubar erfolgen.
  • Beste Option für Sie, auch persönlich. "Eine Gruppe von Arbeitsgruppen-Computern verwalten" ist eine ziemlich schlechte Zeile im Lebenslauf. "Eine neue Windows Active Directory-Domäne für [Firma] erstellt, konfiguriert und verwaltet" ist im Gegensatz dazu ein ziemlich gutes Element im Lebenslauf.

Angenommen, Sie können keine Domäne (und Server 2003) einrichten, wäre meine Präferenz für psexec, welches Teil der SysInternals Suite ist um die Remote-Verbindungen zu machen, und dann die Befehle NET USER und NET GROUP um das eigentliche Hinzufügen zu tun. Auf diese Weise können Sie die Änderungen vornehmen, ohne die Benutzer von ihren Computern zu stoßen.

  1. Laden Sie die SysInternals-Suite herunter.
  2. Öffnen Sie eine Befehlszeile (cmd.exe)
  3. Stellen Sie eine Verbindung zu dem Computer her, auf dem die Änderungen vorgenommen werden sollen
    • psexec \\thecomputeryouwanttomakechangeson\ cmd
  4. Führen Sie den gewünschten Befehl NET USER oder NET GROUP aus.

12
2018-02-11 21:44



+1, obwohl ich die Frage als "ohne AD" beantwortet habe. An einem Punkt hatte ich 30+ Server ohne AD, also fühle ich die OP-Schmerzen. - Katherine Villyard
@KatherineVillyard Ja, ich sah und gab dir entsprechend eine Upvote-Liebe. Natürlich enthält der zweite Teil meiner Antwort auch Informationen darüber, wie ich es ohne AD machen könnte, aber ich würde mich morgens nicht respektieren können, wenn ich nicht den richtigen Weg dazu hätte. :) - HopelessN00b
+1, ich habe mich mit der AD-Frage beschäftigt, und die meisten meiner Lauern schienen zu sagen, dass es die zusätzlichen Kosten und die Gemeinkosten für ein kleines Büro nicht wert war. Gibt es eine leichte Möglichkeit zur Bereitstellung von AD, die ich verpasst habe? Ich gehe davon aus, dass Sie die Hardware für einen DC und einen Backup-DC sowie eine Lizenz benötigen würden. Danke und gute Antwort. - lutze
@ Lutze obwohl Sie es vermeiden sollten, wenn Sie können, kann die DC-Rolle in der Regel auf dem gleichen System sein, das andere Dienste bereitstellt. Ein einfacher Dateiserver hat normalerweise keine Probleme, zum Beispiel auch ein DC zu sein. Wenn Sie für Windows Server ordnungsgemäß lizenziert sind, sollten Sie bereits für die Verwendung einer Domäne lizenziert sein. - Zoredache
@lutze als Zordache hat mich geärgert zu sagen, du kannst einen Domänencontroller (und damit eine Domain) auf jeder Kopie von Windows Server laufen lassen. Mit einem dedizierten Server für einen Domänencontroller und einem sekundären Domänencontroller, der Sie von der Hölle fern hält, wenn die erste fehlschlägt, sind jedoch die zusätzlichen Kosten ins Spiel gekommen, und viele kleinere Geschäfte entscheiden, dass es sich nicht lohnt das Geld. (Obwohl es sein könnte, wenn Sie die Kosten für technisches Personal betrachten, aber ich schweife ab.) - HopelessN00b


Sie können die Liste der aktuellen Benutzer in der Gruppe Administratoren mit folgenden Informationen abrufen:

net localgroup administrators > userlist.txt

Sie können die Benutzer dann von dieser Ausgabe in Tier1- und Tier2-Listen aufteilen und die Listen durchlaufen.

$tier1file="c:\path\to\tier1users.txt" 
$tier2file="c:\path\to\tier2users.txt"

foreach ($user in get-content $tier1file)
{
    net localgroup administrators $user /del
    net localgroup tier1 $user /add
}

foreach ($user in get-content $tier2file)
{
    net localgroup administrators $user /del
    net localgroup tier2 $user /add
}

Oder sowas ähnliches.

Wenn alle Maschinen identisch aufgebaut sind, könnten Sie wahrscheinlich schicker werden, aber Maschinen ohne AD sind häufig nicht identisch.


7
2018-02-11 21:42



Ich denke, dass das Problem hier nicht notwendigerweise darin besteht, die Benutzer in Gruppen aufzuteilen, sondern sicherzustellen, dass sie während dieses Übergangs die notwendigen Rechte auf dem Dateiserver haben ... was erfordert, dass die Benutzer zu diesem Zeitpunkt Zugriff benötigen und die Freigabe zuweisen. ntfs perms entsprechend. Aber das OP könnte dies leicht über ein Wochenende mit nur 12 Benutzern tun, mit zu kämpfen. - TheCleaner
Meinetwegen. Ich war mehr auf den Teil der Frage konzentriert, der sie von den Administratoren abmahnte. :) - Katherine Villyard
@TheCleaner Zu diesem Zweck kann die Zuweisung von NTFS-Berechtigungen auf einem Fileserver während des Tages ohne [unerwünschte] Unterbrechung erfolgen. Ich mache es die ganze Zeit, und bekomme nur Beschwerden, wenn ich einen Fehler mache und versehentlich den Zugriff auf den falschen Ort oder Benutzer verweigert ... aber das ist etwas, das Probleme verursachen wird, unabhängig davon, ob Sie es außerhalb der Arbeitszeit machen oder nicht. Der einzige Teil der Frage, bei dem die Benutzer gestört werden müssen, besteht darin, sich an Arbeitsstationen anzumelden, um Gruppenmitgliedschaften zu ändern, wenn Sie die GUI auf einem Client-Betriebssystem verwenden müssen, das keine parallelen RDP-Sitzungen verarbeiten kann. - HopelessN00b