标题可能会有些误导,但是我对两种不同情况下pipe理访问的最佳实践感兴趣:
最初,我只是将开发人员的AD帐户添加到本地pipe理员组,但是这种策略很快就变得难以pipe理。 我的第二个想法是创build一个安全组,添加所有的开发人员,并在他们需要访问的less数开发服务器上的本地pipe理员组下分配该组。 请指出这个策略的任何问题,或者如果有一个更好/更容易/更标准化的方法。
第二个:
始终创build组并为组分配权限,而不是人员。 然后分配/删除组中的人员。 这是一个最佳实践,将使您的生活在道路上更容易。
随着业务规模的扩大,您可以通过Windows中的内置工具将组的控制委派给经理,以便经理添加/删除人员。 你保持访问限制,并删除一些你必须做的工作。
你的问题的第二部分实际上应该是一个问题,因为答案是不同的。 如果需要,我为备份的选定人员创build辅助pipe理帐户)。 这不是一个日常使用的帐户(没有电子邮件等),但它确实提高了域的权利。 如果我要离开办公室或长时间不在办公室,我可以激活这些pipe理员帐户,并让我的备份处理事情。
您也可以将权限控制委派给经理/团队领导,例如“重置密码”,以便人们不必直接与您联系。
关于你的第一点:我同意你的第二个想法(我借用了Top_Hat的build议)。 创build一个开发人员组,将开发人员用户帐户添加到组,并通过组策略限制组或组策略首选项将该组添加到相关服务器/工作站上的本地pipe理员组。
至于你的第二点:这是一个棘手的情况。 如果你是唯一拥有pipe理环境技能的人,那么你就很难放假,生病等等。我也是这样。 您可以使用委派控制权为用户(或多个用户)提供有限的AD访问权限,用于重置密码,解锁用户帐户等任务。就您的技能组合而言,您委派多less控制权取决于您理解,以及在你离开的时候他们需要做多less事情。 您可以为这些用户创build一个组,并将这个组添加到所选服务器/工作站上的本地pipe理员组,如果他们在您离开时需要对这些服务器/工作站的pipe理访问权限。
我必须pipe理对环境中每个组件的访问,以允许初级员工访问有限的一组function和访问权限,以便支持我…没有给他们访问function级别和访问一个域pipe理员将有。 这是一个艰巨的过程,需要logging。 我必须将控制委托给AD的有限范围,设置RDP限制,对我们服务器上的文件系统进行有限的访问,授予对Exchange服务器,DNS等的有限访问权限。