寻找一些关于如何通过授权和服务器访问来设置ITpipe理员的build议或提示。 我从一个新的组织开始,看到每个IT员工都是域pipe理员。 看起来像允许每个人都做他们需要做的域和服务器上。 我开始尝试组织每个人,让他们获得他们真正需要的东西。 寻找关于如何设置您的环境的build议? 我们并不是一个庞大的组织,在一个特定的时间里有10到15名IT员工。 这是我想做的事情。
1:创build2个新的安全组。 1为HelpDesk,1为服务器操作员。 委托服务台添加计算机的权限以及重置密码。 服务器操作员将具有相同的,但也将添加组作为他们需要有权访问的服务器的pipe理员。 仍然有2个域pipe理员完全控制。
2:让这两个新组访问所有共享,以便他们可以帮助用户删除文件或任何其他常见任务。
在将来,我将创build应用程序特定的pipe理安全组,如CRMAdmins,ExchangeAdmin等…在那里我可以扔用户实际上需要维护和在这些服务器上工作。
我担心的是,由于每个人都有完整的访问权限,所以我可能会切断对用户的访问权限,而我试图保护这个权限。 任何想法或build议,如果这是一个很好的道路或任何想法你如何布置,将不胜感激。 我们正在运行Server 2012域。 谢谢。
我们为各种任务设置了基于angular色的访问控制。
对于需要提供账户/组/联系人的团队,我们创build了一个单独的组。 该组被分配到域顶部的权限:
然后为每个对象types(用户/组/联系人)位于域的顶部授予这些对象types的完全控制的ACE。
对于需要join计算机的团队也是如此,另外一个团队可以访问:
授予对计算机对象的完全控制权可能并不理想,那将是您需要评估的事情。 另外请注意,build议使用一些预分级计算机的单独控制/进程。 最起码,域控制器OU应该删除权限的inheritance,这将阻止那些inheritance的组权限修改域控制器。
对于Enterprise Admins可能需要的权限,我们执行类似的操作。 具体来说,这将包括添加/修改/删除站点或DHCPpipe理的能力。
这基本上是你会遵循的模式。 确定他们需要什么访问权限,在非生产环境中对其进行testing,然后在生产环境中实施访问控制。
这可能是非显而易见的/值得一提的是,我们不使用诸如“Domain Admins”之类的Windows内置组来授予访问权限 。 当您创build自己的基于angular色的访问控制组的路线时,您不需要包含域pipe理员或企业pipe理员。