저는 집에 소규모 Server 2008 R2 도메인 네트워크를 설정하여 관리 방법을 배우고 연습할 수 있습니다.
감사자가 도메인 내의 워크스테이션과 서버에 있는 모든 파일에 액세스할 수 있도록 임시 사용자 계정을 만들고 싶지만 전체 관리자 권한은 부여하지 않고 모든 파일에 대한 읽기 전용 액세스만 부여하고 싶다고 가정해 보겠습니다.
두 번째로 감사자가 필요에 따라 WMI 쿼리를 수행할 수 있도록 하고 싶습니다.
이 작업을 수행하려면 어떻게 해야 합니까? 사용자에 대한 그룹을 만들고 해당 그룹에 적용되는 GPO를 생성합니까? 어떤 속성을 설정해야 합니까?
어떤 조언이라도 감사드립니다!
편집하다
백업 운영자에게 감사자 계정을 할당했지만 관리 공유에 액세스할 수 없다는 것을 발견했습니다. "\MyPC.testserver.com\c$\"는 관리자 계정으로 액세스할 수 있지만 Backup Operator 계정으로는 액세스할 수 없습니다.
여기에서 내장된 백업 운영자 그룹에 대해 읽었습니다.http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx
이는 다음을 나타냅니다.
이 그룹의 구성원은 다음 위치의 모든 파일을 백업하고 복원할 수 있습니다.도메인 컨트롤러해당 파일에 대한 개별 권한에 관계없이 도메인에 있습니다. 백업 운영자는 도메인 컨트롤러에 로그온하여 종료할 수도 있습니다.
워크스테이션에 대한 읽기 전용 액세스 권한을 갖도록 관리자 계정을 수정할 수 있는 방법이 있습니까?
답변1
나는 항상 감사자 등을 위해 새로운 AD 그룹을 만듭니다. 이를 통해 쉽게 찾고, 그룹에 GPO를 적용하고, 활성화/비활성화하는 등의 작업을 수행할 수 있습니다.
AD에 내장된 백업 운영자 그룹에 해당 그룹을 추가합니다. 백업 운영자 그룹의 구성원은 사용자가 일반적으로 액세스할 수 없는 파일과 디렉터리를 읽을 수 있습니다. 이 그룹의 구성원은 사용자가 "백업" 목적으로 모든 파일을 열 수 있도록 허용합니다.
이렇게 하면 관리자가 아니더라도 AD에 연결된 컴퓨터의 모든 파일을 읽을 수 있습니다.