我在家裡建立了一個小型 Server 2008 R2 網域網絡,以便我可以學習和練習管理它。
假設我想建立一個臨時使用者帳戶,以允許審核員存取網域內工作站和伺服器上的所有文件,但我不想授予完全管理員權限,而只想授予對所有文件的唯讀存取權限。
其次,我希望審核員能夠根據需要執行 WMI 查詢。
我該怎麼做呢?我是否為用戶建立一個群組並產生適用於該群組的 GPO?我需要設定哪些屬性?
感謝您的任何建議!
編輯
我將審計員帳戶分配給備份操作員,但我發現我無法存取管理共享,例如。 “\MyPC.testserver.com\c$\”可以使用管理員帳戶訪問,但不能使用備份操作員帳戶訪問。
我在這裡閱讀了有關內建群組的備份操作員的資訊:http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx
這表明
該群組的成員可以備份和還原上的所有文件網域控制器在網域中,無論他們自己對這些文件的個人權限如何。備份操作員也可以登入網域控制器並將其關閉...
有沒有辦法修改管理員帳戶,使其具有對工作站的唯讀存取權限?
答案1
我總是為審計員等建立新的 AD 群組。它可以更輕鬆地找到它們、將任何 GPO 應用到群組、啟用/停用等...
將該群組新增至 AD 內建的 Backup Operator 群組。 Backup Operators 群組的成員可以讀取使用者通常無權存取的檔案和目錄。該群組的成員資格允許使用者開啟任何檔案以用於「備份」目的。
這將允許他們讀取連接到 AD 的電腦上的任何文件,而無需成為管理員。