Configurei uma pequena rede de domínio do Server 2008 R2 em casa para poder aprender e praticar sua administração.
Digamos que eu queira criar uma conta de usuário temporária para permitir que um auditor acesse todos os arquivos em estações de trabalho e servidores dentro do domínio, mas não quero conceder permissões completas de administrador, apenas acesso somente leitura a todos os arquivos.
Secundariamente, gostaria de permitir que o auditor execute consultas WMI conforme necessário.
Como devo fazer isso? Devo criar um grupo para o usuário e gerar um GPO que se aplique a esse grupo? Quais propriedades eu precisaria definir?
Obrigado por qualquer conselho!
EDITAR
Atribuí a conta de auditor aos Operadores de Backup, mas descobri que não consegui acessar compartilhamentos administrativos, por exemplo. "\MyPC.testserver.com\c$\" estava acessível com a conta do administrador, mas não com a do Operador de Backup.
Eu li sobre o grupo integrado de Operadores de Backup aqui:http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx
Isso indica que
Os membros deste grupo podem fazer backup e restaurar todos os arquivos emcontroladores de domíniono domínio, independentemente de suas próprias permissões individuais nesses arquivos. Os operadores de backup também podem fazer logon nos controladores de domínio e desligá-los...
Existe uma maneira de modificar uma conta de administrador para que ela tenha acesso somente leitura às estações de trabalho?
Responder1
Sempre crio novos grupos de AD para auditores e afins. Torna mais fácil encontrá-los, aplicar quaisquer GPOs ao grupo, ativar/desativar, etc...
Adicione esse grupo ao grupo Operador de Backup integrado ao AD. Um membro do grupo Operadores de Backup pode ler arquivos e diretórios aos quais o usuário normalmente não teria acesso. A associação a este grupo permite que os usuários abram qualquer arquivo para fins de “backup”.
Isso permitirá que eles leiam qualquer arquivo em uma máquina conectada ao AD sem ser administrador.