Ich arbeite für ein großes Unternehmen, das in den letzten 5 Jahren mehrere zusätzliche Websites erworben hat. Wir haben diese Websites vollständig in unsere Unternehmenswebsite integriert. Das Problem, auf das ich jetzt stoße, ist, dass die meisten Websites einen lokalen Administrator haben und diese Administratoren nicht immer gut mit uns zusammenarbeiten.
Was also passiert, ist, dass an diesen Standorten manchmal neue Server hinzugefügt und alte Server außer Betrieb genommen werden, ohne dass das Serverteam einbezogen wird. Ich suche nach einer Möglichkeit, das Domänenbeitrittsprivileg basierend auf dem Betriebssystemtyp einzuschränken. Daher möchte ich alle Domänenbeitrittsfunktionen des Servers ausschließlich dem Serverteam vorbehalten. Die Mitarbeiter vor Ort müssen weiterhin in der Lage sein, Arbeitsstationen zur Domäne hinzuzufügen.
Antwort1
Wenn Sie nicht möchten, dass diese Personen Server zur Domäne hinzufügen, möchten Sie wahrscheinlich nicht, dass sie Domänenadministratoren sind.
Sie können ihnen Konten mit eingeschränkten Berechtigungen erteilen, die lediglich über die delegierten Rechte verfügen, Maschinen innerhalb einer geschlossenen OU-Struktur der Domäne hinzuzufügen und Berichte über die dort durchgeführten Aktionen auszuführen, um nicht autorisierte Verknüpfungen „abzufangen“. Dies ist jedoch kein technisches Problem. Ihr Problem besteht darin, dass Sie Leute mit Domänenadministratorrechten haben, denen Sie die Verwaltung der Domäne nicht zutrauen. Die beste Lösung wird immer darin bestehen, Leuten die Administratorrechte zu entziehen, denen diese Rechte nicht anvertraut werden können.