Pasul 1: Permite acces Remote Desktop

 1. Adaugă tehnicianul în grupul Remote Desktop Users

1. Deschide Active Directory Users and Computers (dsa.msc)

2. Găsește utilizatorul (ex: it.support)

3. Click dreapta → Properties → tabul Member Of

4. Click Add → scrie Remote Desktop Users → OK.

2. Asigură-te că are permisiunea „Allow log on through Remote Desktop Services”. Pe Domain Controller, acest drept nu este acordat implicit.

1. Deschide Group Policy Management (gpmc.msc)

2. Creează un GPO nou (ex: RDP Access for Support) sau editează unul existent

3. Navighează la:

(Opțional): Drepturi administrative limitate pe server

Pe un Domain Controller, nu poți avea conturi locale sau grupuri locale. Dar poți folosi grupul integrat Server Operators, care oferă unele drepturi administrative fără acces la AD.

 Adaugă utilizatorul în Server Operators

1. În dsa.msc, mergi la containerul Builtin

2. Deschide grupul Server Operators

3. Click pe Members → Add → adaugă it.support

Poate porni/opri servicii, modifica fișiere de sistem, dar nu are acces la obiectele Active Directory.

Pasul 3: Oferă acces limitat în Active Directory (prin „Delegate Control”)

 1. Creează un OU dedicat

1. În dsa.msc, click dreapta pe domeniu → New → Organizational Unit

2. Numește-l de exemplu: ManagedUsers

3. Mută acolo obiectele pe care tehnicianul trebuie să le gestioneze (ex. useri)

 2. Rulează Wizard-ul „Delegate Control”

1. Click dreapta pe OU-ul ManagedUsers → Delegate Control

2. Adaugă utilizatorul it.support

3. Selectează permisiunile necesare, de exemplu:

   • Reset user passwords and force password change at next logon

   • Create, delete, and manage user accounts

   • Read all user information

4. Finalizează wizard-ul.

Pasul 4: Testare

1. Conectează-te prin RDP cu userul it.support

2. Rulează dsa.msc

3. Verifică:

   • Poate accesa OU-ul ManagedUsers

   • Poate reseta parole sau crea useri doar acolo

   • Nu are acces la alte OU-uri sau la obiectele critice din AD.