管理方法を学習し、練習できるように、自宅に小さな Server 2008 R2 ドメイン ネットワークをセットアップしました。
監査人がドメイン内のワークステーションとサーバー上のすべてのファイルにアクセスできるようにするために一時的なユーザー アカウントを作成したいが、完全な管理者権限は付与せず、すべてのファイルへの読み取り専用アクセスのみを付与したいとします。
次に、監査人が必要に応じて WMI クエリを実行できるようにしたいと考えています。
これをどうやって実行すればよいでしょうか? ユーザーのグループを作成し、そのグループに適用される GPO を生成するのでしょうか? どのようなプロパティを設定する必要がありますか?
アドバイスをいただければ幸いです。
編集
監査アカウントをバックアップ オペレーターに割り当てましたが、管理共有にアクセスできないことがわかりました。たとえば、「\MyPC.testserver.com\c$\」は管理者アカウントではアクセスできましたが、バックアップ オペレーター アカウントではアクセスできませんでした。
ここで、バックアップ オペレーターの組み込みグループについて読みました。http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx
それは、
このグループのメンバーは、ドメイン コントローラそれらのファイルに対する個々の権限に関係なく、ドメイン内でバックアップ オペレータはドメイン コントローラにログオンしてシャットダウンすることもできます...
管理者アカウントを変更して、ワークステーションへの読み取り専用アクセス権を付与する方法はありますか?
答え1
私は常に監査人などのために新しい AD グループを作成します。そうすることで、監査人を見つけたり、グループに GPO を適用したり、有効化/無効化したりすることが簡単になります。
そのグループを AD に組み込まれているバックアップ オペレータ グループに追加します。バックアップ オペレータ グループのメンバーは、通常ユーザーがアクセスできないファイルやディレクトリを読み取ることができます。このグループのメンバーシップにより、ユーザーは「バックアップ」の目的で任意のファイルを開くことができます。
これにより、管理者でなくても、AD に接続されたマシン上の任意のファイルを読み取ることができるようになります。