タイトルは少し誤解を招くかもしれませんが、私は次の 2 つの異なるシナリオで管理アクセスを委任するためのベスト プラクティスに興味があります。
- 開発者に特定の開発サーバーへのローカル管理アクセス権を与える
最初は開発者の AD アカウントをローカルの Administrators グループに追加するだけでしたが、この戦略ではすぐに管理が難しくなります。次に考えたのは、セキュリティ グループを作成し、すべての開発者をそのグループに追加して、アクセスが必要な少数の開発サーバー上のローカルの Administrators グループの下にそのグループを割り当てるというものでした。この戦略に問題がある場合や、より優れた/簡単な/より標準化された方法がある場合は、ぜひご指摘ください。
そして2番目:
- 現在、ドメイン管理者権限を持っているのは私だけです。車にひかれたり、あるいはそのような事故が起こったりしても会社が行き詰まらないように、パスワードを書いた封筒を鍵のかかる場所に保管するつもりです。しかし、当面の懸念は、休暇を取って、不在期間中に上司に管理を委任できるかどうかです。
答え1
常にグループを作成し、そのグループに権限を割り当てます。人ではなくグループに権限を割り当てます。次に、グループに人を割り当てたり、グループから人を削除したりします。これは、今後の作業を大幅に楽にするベスト プラクティスです。
ビジネスの規模が大きくなると、Windows に組み込まれているツールを使用してグループの管理をマネージャーに委任し、マネージャーがメンバーの追加や削除を行えるようにすることができます。アクセスを制限したままにして、やらなければならない作業の一部を軽減できます。
質問の 2 番目の部分は、回答が異なるため、実際にはそれ自体が質問である必要があります。必要に応じて、バックアップとなる特定の人用にセカンダリ管理アカウントを作成します。これは日常的に使用するアカウントではありません (電子メールなどはありません) が、ドメイン内では高い権限を持っています。町を離れる場合や、長期間オフィスを離れる場合は、これらの管理者アカウントをアクティブ化して、バックアップに処理させることができます。
また、「パスワードのリセット」などの権限の制御をマネージャー/チームリーダーに委任することもできるので、ユーザーはそのためにあなたに直接連絡する必要がなくなります。
答え2
最初の点について: 2 番目の考えに同意します (Top_Hat の推奨事項に賛成します)。開発者グループを作成し、開発者ユーザー アカウントをグループに追加し、グループ ポリシーの制限されたグループまたはグループ ポリシーの基本設定を使用して、このグループを関連するサーバー/ワークステーションのローカル管理者グループに追加します。
2 つ目の点についてですが、これは難しい状況です。環境を管理するスキルを持つのが自分だけの場合、休暇や病欠などを取るのは困難です。私も同じ状況です。制御の委任を使用すると、パスワードのリセット、ユーザー アカウントのロック解除などのタスクを実行するために、ユーザー (または複数のユーザー) に AD への限定的なアクセスを与えることができます。委任する制御の範囲は、ユーザーのスキル セットと理解度にどの程度満足しているか、および不在中にユーザーがどの程度の作業を行う必要があるかによって決まります。これらのユーザーが不在中にそれらのサーバー/ワークステーションへの管理アクセスを必要とする場合は、これらのユーザー用のグループを作成し、選択したサーバー/ワークステーションのローカル管理者グループにこのグループを追加できます。
環境内のすべてのコンポーネントへのアクセスを管理して、ジュニア レベルのスタッフが限られた機能とアクセスにアクセスできるようにし、私をサポートしなければなりませんでした... ドメイン管理者が持つレベルの機能とアクセスへのアクセスは許可しませんでした。これは大変なプロセスであり、文書化する必要があります。AD の限られた範囲に制御を委任し、RDP 制限を設定し、サーバー上のファイル システムへの制限付きアクセスを許可し、Exchange サーバー、DNS などへの制限付きアクセスを許可する必要がありました。