Zuweisen eingeschränkter Berechtigungen für einen temporären Domänenbenutzer zum Zugriff auf Netzwerksysteme

tag-icon tag-icon permissions windows-server-2008-r2 authentication group-policy read-only
Zuweisen eingeschränkter Berechtigungen für einen temporären Domänenbenutzer zum Zugriff auf Netzwerksysteme

Ich habe zu Hause ein kleines Server 2008 R2-Domänennetzwerk eingerichtet, damit ich die Verwaltung erlernen und üben kann.

Angenommen, ich möchte ein temporäres Benutzerkonto erstellen, um einem Prüfer Zugriff auf alle Dateien auf Arbeitsstationen und Servern innerhalb der Domäne zu gewähren, ich möchte ihm jedoch keine vollständigen Administratorrechte erteilen, sondern nur schreibgeschützten Zugriff auf alle Dateien.

Zweitens möchte ich dem Prüfer ermöglichen, bei Bedarf WMI-Abfragen durchzuführen.

Wie gehe ich dabei vor? Erstelle ich eine Gruppe für den Benutzer und generiere ein GPO, das für diese Gruppe gilt? Welche Eigenschaften müsste ich festlegen?

Danke für jeden Rat!

BEARBEITEN

Ich habe das Prüferkonto den Backup-Operatoren zugewiesen, habe jedoch festgestellt, dass ich nicht auf administrative Freigaben zugreifen konnte. Beispielsweise war der Zugriff auf „\MyPC.testserver.com\c$\“ mit dem Administratorkonto möglich, jedoch nicht mit dem Backup-Operator-Konto.

Ich habe hier über die integrierte Gruppe der Backup-Operatoren gelesen:http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx

Es zeigt an, dass

Mitglieder dieser Gruppe können alle Dateien sichern und wiederherstellen aufDomänencontrollerin der Domäne, unabhängig von ihren eigenen individuellen Berechtigungen für diese Dateien. Backup-Operatoren können sich auch bei Domänencontrollern anmelden und diese herunterfahren...

Gibt es eine Möglichkeit, ein Administratorkonto so zu ändern, dass es nur Lesezugriff auf Arbeitsstationen hat?

Antwort1

Ich erstelle immer neue AD-Gruppen für Prüfer und dergleichen. So lassen sie sich leichter finden, GPOs auf die Gruppe anwenden, aktivieren/deaktivieren usw.

Fügen Sie diese Gruppe der in AD integrierten Backup-Operator-Gruppe hinzu. Ein Mitglied der Backup-Operator-Gruppe kann Dateien und Verzeichnisse lesen, auf die der Benutzer normalerweise keinen Zugriff hätte. Die Mitgliedschaft in dieser Gruppe erlaubt es Benutzern, jede Datei zu „Backup“-Zwecken zu öffnen.

Dadurch können sie alle Dateien auf einem mit AD verbundenen Computer lesen, ohne Administratorrechte zu haben.

verwandte Informationen