windows – IT工作人员代表团的建议
|
寻找有关如何使用委派和服务器访问权限设置IT管理员的一些建议或提示.我从一个新的组织开始,看到每个IT员工都是域管理员.看起来这样每个人都可以在域和服务器上执行他们需要做的事情.我已经开始尝试组织每个人并让他们访问他们实际需要的内容.寻找有关如何设置环境的建议?我们不是一个庞大的组织,在一个地方,在特定时间有10到15名IT员工.这就是我的想法.
1:创建2个新安全组. 1表示HelpDesk,1表示服务器运算符.为Helpdesk委派权限以添加计算机以及重置密码.服务器运算符将具有相同的功能,但也会将该组添加为他们需要访问的服务器的管理员.仍然有2个域管理员完全控制. 2:为这两个新组提供对所有共享的访问权限,以便他们可以帮助用户处理已删除的文件或任何其他常见任务. 在未来,我将创建特定于应用程序的管理安全组,如CRMAdmins,ExchangeAdmin等…我可以在那里抛出实际需要维护和处理这些服务器的用户. 我担心的是,由于每个人都有完全访问权限,因此我可能会限制用户访问权限.任何想法或建议,如果这是一个好的道路或任何关于你如何奠定它的想法将不胜感激.我们在Server 2012域上运行.谢谢.
我们为各种任务设置基于角色的访问控制.
对于需要配置帐户/组/联系人的团队,我们创建了一个单独的组.该组的权限位于域顶部,用于: >创建/删除用户对象 然后在域顶部的每个对象类型(用户/组/联系人)的ACE,为这些对象类型授予完全控制权. 同样,对于需要加入计算机的团队,可以使用一个单独的组来访问: >创建/删除计算机对象 授予对计算机对象的完全控制可能并不可取,这是您需要评估的内容.另请注意,建议使用一些单独的控制/进程来预先安装计算机.至少,域控制器OU应该删除权限的继承,这将阻止那些继承的组权限修改域控制器. 我们为Enterprise Admins可能需要的权限执行类似操作.具体来说,这将包括添加/修改/删除站点或DHCP管理的功能. 这基本上就是你要遵循的模式.确定他们需要的访问权限,在非生产环境中测试,然后在生产中实施访问控制. 可能不明显/值得一提的是,我们不使用Windows内置组(如“Domain Admins”)来授予访问权限.当您开始创建自己的基于角色的访问控制组的路线时,您不需要包括Domain Admins或Enterprise Admins. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows-server-2012 – 在Windows Server 2012上运行Tridi
- Vagrant / virtualbox没有SSH连接和超时(Windows)
- 在Windows 8 / .Net 4.5中嵌入Chakra Javascript引擎
- windows-service – 从命令提示符显示Windows服务的状态
- windows-7 – powershell as gvim(vim):shell
- windows – goapp serve:无法找到dev_appserver.py
- windows – 如何在cygwin下的Perl脚本中处理箭头键?
- Microsoft Dynamics 2011 N:N LINQ查询,其中where子句包含
- windows-server-2003 – 如何从Active Directory重新填充DN
- windows-server-2003 – 网络文件同步工具