背景:我们有一个正在生产的Active Directory环境,我们继续将更多的机器和服务器放入其中。 我们没有直接访问用户对象来移动它们,就像你通常能够做的那样。 相反,我们只能与用户组一起工作,并为其分配权限和设置,对于用户configuration,我们必须使用环回处理。
我们的服务器至less现在都集中在一个OU中。 我们有各种组策略附加到此OU,提供一组库存configuration。 例如,我们有一个只包含所有服务器的计算机configuration项,一个包含所有服务器的用户configuration项,一个提供本地pipe理员权限给服务器,另一个作为覆盖这三者中提供的策略的function,是安全筛选到相应的服务器,它需要覆盖设置。
问题:我们有许多服务器需要为传统IT人员以外的各种用户组提供额外的访问权限。 例如,我们有一台运行桌面映像软件的服务器,服务台用户组需要具有pipe理员访问权,远程桌面以及常规IT人员。 我们有一个会计团队需要pipe理员权限和远程桌面权限的另一台服务器以及IT人员。 我们有另一台服务器运行一些暖通空调软件,设施将需要额外的访问这一个以及外部供应商。
我们正在处理连续扩展这些权限的问题。 当我们添加新的服务器并且拥有需要权限的新用户组时,这变得难以pipe理。 覆盖安全过滤和组策略优先级的设置是站不住脚的,难以排除故障。 有没有更好的方法来解决这个问题? 我们应该如何设置这个环境来允许这个?
根据你的描述,我会build议分两步进行:
然后,创build与您创build的每个计算机帐户组匹配的组策略对象。 这些GPO将相关用户组放入适当的本地组(本地pipe理员,远程桌面用户等)。 接下来,更改每个这些GPO的安全筛选以使用匹配的计算机帐户组,并将GPO分配给您的顶级OU。
这样,您仍然可以提供影响所有服务器的组策略,或者按照您的OU结构来pipe理Windows Updates和其他设置,同时为您提供对安全访问的精确控制。
如果你雇用一个新的IT人员:把他们添加到IT用户组,他们将有权访问适当的服务器集。 如果设施需要访问新服务器:将新服务器的计算机帐户添加到名为“设施服务器访问”的计算机组中,并且任何现有设施人员将具有GPO定义的访问权限。
希望这是有道理的; 如果不够清楚,我可以编辑。