Я настроил дома небольшую доменную сеть Server 2008 R2, чтобы иметь возможность изучить и попрактиковаться в ее администрировании.
Допустим, я хочу создать временную учетную запись пользователя, чтобы разрешить аудитору доступ ко всем файлам на рабочих станциях и серверах в домене, но я не хочу предоставлять полные права администратора, а только доступ только для чтения ко всем файлам.
Во-вторых, я хотел бы дать аудитору возможность выполнять запросы WMI по мере необходимости.
Как мне это сделать? Мне создать группу для пользователя и сгенерировать GPO, который применяется к этой группе? Какие свойства мне нужно задать?
Спасибо за любой совет!
РЕДАКТИРОВАТЬ
Я назначил учетную запись аудитора операторам резервного копирования, но обнаружил, что не могу получить доступ к административным общим ресурсам, например, «\MyPC.testserver.com\c$\" был доступен с учетной записью администратора, но не с учетной записью оператора резервного копирования.
О встроенной группе резервных операторов я прочитал здесь:http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx
Это указывает на то, что
Члены этой группы могут создавать резервные копии и восстанавливать все файлы наконтроллеры доменав домене, независимо от их собственных индивидуальных разрешений на эти файлы. Операторы резервного копирования также могут входить в контроллеры домена и выключать их...
Можно ли изменить учетную запись администратора так, чтобы она имела доступ только для чтения к рабочим станциям?
решение1
Я всегда создаю новые группы AD для аудиторов и т. п. Это упрощает их поиск, применение любых объектов групповой политики к группе, включение/отключение и т. д.
Добавьте эту группу в группу Backup Operator, встроенную в AD. Член группы Backup Operators может читать файлы и каталоги, к которым пользователь обычно не имеет доступа. Членство в этой группе позволяет пользователям открывать любые файлы для целей «резервного копирования».
Это позволит им читать любые файлы на компьютере, подключенном к AD, не будучи администраторами.