我们正在运行由几个不同的Windows机器(Vista,Windows 7,Windows 10,2008 R2,2012 R2,…)组成的Active Directory。 我必须想出一个概念,允许本地权限的粒度pipe理。 目前有太多的人对机器有完全的权利。
我打算做以下事情:
然后我会为ServerB做同样的事情,等等。 之后我会把这些AD组合成一个更大的这样的组合:
这将允许我控制广告方面,哪个用户有本地pipe理权限。 我可以一次给所有机器上的用户上帝权利,而其他人只有一台机器(或者只有一台)。
缺点是我会炸毁广告数据库,因为很多新的组是必要的。
不幸的是,我没有find任何来自微软的文档,描述了在AD环境下处理本地内置组的最佳实践。
什么是实现我的目标的最好方法?
组本身的数量本身并不是问题,它终于可以编写脚本了 – 组成员的数量是!(例如,由于kerberos max令牌的大小)。
我更喜欢以下内容(本地pipe理员成员的示例)
网站A
主机A1:HostA1-Admin,SiteA Admin
主机A2:HostA2-Admin,SiteApipe理员
网站B
主机B1:HostB1-Admin,SiteB Admin
主机B2:HostB2-Admin,SiteBpipe理员
因此,您可以将单个主机或站点相关的pipe理分配给您的同事。 总是尝试减less组员资格。 层叠组不会减less(见whoami / groups)。 如果你有一个森林,这有点不同,但问题保持不变。
根据您的域名大小,可以使用脚本或gpos将这些组添加到您的本地pipe理员。
另外,请参阅活动目录(域本地/全局/通用)中的组概念,这对于林,但是对于本地域也很重要,因为它会影响全局编录(这是您的广告的search索引,并被许多MS服务使用) 。 Microsoft为本地和全局组使用术语资源和用户(?)组,这些已经暗示了预期的用法。
请注意用户的组数! 这个数字会影响Kerberos ticke t的大小 。 达到一定限度后 – 用户无法login。这在大型域中非常重要。
我build议创build一个组不是“每个服务器”,而是“每个angular色”的用户(会计,运营商,经理,pipe理员)。 如有必要,这些组包括一个本地服务器组。 然后,最小化用户所属的域组的数量。