O título pode ser um pouco enganador, mas estou interessado nas práticas recomendadas para delegar acesso administrativo em dois cenários diferentes:
- dando aos desenvolvedores acesso administrativo local a determinados servidores de desenvolvimento
Inicialmente, eu apenas adicionaria a conta AD do desenvolvedor ao grupo Administradores local, mas essa estratégia rapidamente se torna difícil de gerenciar. Meu segundo pensamento foi criar um grupo de segurança, adicionar todos os desenvolvedores a ele e atribuir esse grupo ao grupo Administradores local nos poucos servidores de desenvolvimento aos quais eles precisam acessar. Aponte quaisquer problemas com esta estratégia ou se existe um método melhor/mais fácil/mais padronizado.
E o segundo:
- atualmente sou o único que possui privilégios de administrador de domínio. Estou pensando em trancar um envelope com senhas para que a empresa não morra na água se eu for atropelado por um carro (ou ocorrer algum acidente desse tipo). Minha preocupação imediata, porém, é minha capacidade de tirar férias e delegar o controle ao meu chefe durante minha ausência.
Responder1
Sempre crie grupos e atribua direitos aos grupos, nunca às pessoas. Em seguida, atribua/remova pessoas dos grupos. Esta é uma prática recomendada que tornará sua vida muito mais fácil no futuro.
À medida que sua empresa cresce, você pode delegar o controle de um grupo a um gerente por meio de ferramentas integradas no Windows para permitir que o gerente adicione/remova pessoas. Você mantém o acesso restrito e remove parte do trabalho que precisa fazer.
A segunda parte da sua pergunta deveria ser uma pergunta por si só, porque as respostas são diferentes. Eu crio contas administrativas secundárias para pessoas selecionadas que são meu backup (se necessário). Esta não é uma conta de uso diário (sem e-mail, etc.), mas possui direitos elevados no domínio. se eu estiver fora da cidade ou fora do escritório por um longo período de tempo, posso ativar essas contas de administrador e deixar meu backup cuidar das coisas.
Você também pode delegar o controle de direitos como "redefinir senha" aos gerentes/líderes de equipe para que as pessoas não precisem contatá-lo diretamente para isso.
Responder2
No seu primeiro ponto: concordo com o seu segundo pensamento (estou apoiando a recomendação do Top_Hat). Crie um grupo de desenvolvedores, adicione as contas de usuário do desenvolvedor ao grupo e adicione esse grupo ao grupo Administradores Locais nos servidores/estações de trabalho relevantes por meio de Grupos Restritos de Política de Grupo ou Preferências de Política de Grupo.
Quanto ao seu segundo ponto: essa é uma situação complicada. Se você é o único com habilidades para gerenciar o meio ambiente, será difícil tirar férias, faltas por doença, etc. Estou na mesma situação. Você pode usar a delegação de controle para conceder a um usuário (ou usuários) acesso limitado ao AD para tarefas como redefinição de senhas, desbloqueio de contas de usuário, etc. e compreensão, e o quanto eles precisarão fazer enquanto você estiver fora. Você pode criar um grupo para esses usuários e adicioná-lo ao grupo Administradores locais em servidores/estações de trabalho selecionados se eles precisarem de acesso administrativo a esses servidores/estações de trabalho enquanto você estiver fora.
Tive que gerenciar o acesso a todos os componentes do nosso ambiente para permitir que a equipe de nível júnior tenha acesso a um conjunto limitado de funções e acesso para me apoiar... sem dar-lhes acesso ao nível de funções e acesso que um domínio Admin teria. É um processo árduo e precisa ser documentado. Tive que delegar o controle a um escopo limitado do AD, definir restrições RDP, conceder acesso limitado ao sistema de arquivos em nossos servidores, conceder acesso limitado ao servidor Exchange, DNS, etc., etc.