我在我们公司有一个小型的基于Windows的networking, 一台Win2008服务器作为域控制器,另一台作为“备份”域控制器的旧版Win2003服务器。 现在我想让我的一个同事访问Win2003服务器,包括。 本地pipe理员权限。
但是,该帐户只能在该服务器上获得本地pipe理权限,没有别的。 所以我基本上想阻止这个帐户访问或至less修改任何Windows域设置(活动目录)。 他也不应该能够login到除了这个旧服务器之外的任何其他机器。 他必须能够(去)安装程序并启动/停止服务。
任何方式来做到这一点? 在此先感谢您的帮助!
亲切的问候,马提亚斯
你不能让某人成为DC的pipe理员,并阻止他们访问诸如ADUC,GPO之类的东西。你将使他们成为域中内置\ Administrators的成员,然后允许他们做任何事情他们要。
DC上没有本地账户。
这就是为什么您只将域控制器用于Active Directory和DNS并在其他服务器上运行其他服务的原因之一。 pipe理委托更容易,安全性也更高。
把它们放在服务器操作员组中会给你这个function,但是我的理解是如果他们有服务器操作员权限,他们也可以让他们“升级”他们的账户。
一旦他们对DC有“pipe理员级别”权限,您将无法阻止他们做任何事情。
JoeWare的Joe Richards在他的博客中曾经评论过我的观点。 基本上,如果你不相信任何事情,就不要授予某个人的资格。
只是抛出这个想法,因为我不知道它是否会像你想要的那样工作,但是也许你可以考虑把他添加到机器上的Power Users组中。 这应该给他足够的权限来在机器上安装软件。 没有进入域pipe理员组或明确授予对Active Directory信息的权限,我不认为他能够触及任何这些东西。 也许创build一个testing域用户,把他和你的同事一起放到同一个组中,然后把他加到机器的高级用户组,看看你能不能访问什么。
编辑:看到joeqwerty的评论…它看起来像高级用户组不存在DC