標題可能有點誤導,但我對針對兩種不同場景委派管理存取權限的最佳實踐感興趣:
- 為開發人員提供對某些開發伺服器的本機管理存取權限
最初,我只是將開發人員的 AD 帳戶新增至本機管理員群組,但此策略很快就變得難以管理。我的第二個想法是建立一個安全群組,將所有開發人員新增到其中,並將該群組分配到他們需要存取的少數開發伺服器上的本機管理員群組下。請指出此策略的任何問題,或是否有更好/更簡單/更標準化的方法。
第二個:
- 目前我是唯一擁有網域管理員權限的人。我正計劃鎖上一個帶有密碼的信封,這樣,如果我被車撞了(或發生了類似的事故),公司就不會陷入困境。然而,我最關心的是我是否能夠休假並在缺勤期間將控制權委託給我的老闆。
答案1
始終建立群組並將權限分配給群組,而不是人。然後從群組中分配/刪除人員。這是一個最佳實踐,將使您以後的生活變得更加輕鬆。
隨著您的企業規模不斷擴大,您可以透過 Windows 中的內建工具將群組的控制權委託給經理,以允許經理新增/刪除人員。您可以限制存取並刪除一些必須執行的工作。
你的問題的第二部分實際上應該是一個單獨的問題,因為答案是不同的。我為選定的人員建立輔助管理帳戶,他們是我的備份(如有必要)。這不是日常使用帳戶(沒有電子郵件等),但它確實在網域中擁有更高的權限。如果我要出城或長時間不在辦公室,我可以啟動這些管理員帳戶並讓我的備份來處理事情。
您也可以將「重設密碼」等權限的控制權委託給經理/團隊負責人,這樣人們就不必為此直接與您聯繫。
答案2
關於你的第一點:我同意你的第二個想法(我同意 Top_Hat 的建議)。建立開發人員群組,將開發人員使用者帳戶新增至該群組,然後透過群組原則限制群組或群組原則首選項將群組新增至相關伺服器/工作站上的本機管理員群組。
至於你的第二點:這是一個棘手的情況。如果你是唯一有能力管理環境的人,那麼你就很難休假、請病假等。您可以使用控制委派來授予一個或多個使用者對 AD 的有限存取權限,以執行重設密碼、解鎖使用者帳戶等任務。 ,以及您不在時他們需要做多少事情。您可以為這些使用者建立一個群組,並將該群組新增至所選伺服器/工作站上的本機管理員群組(如果他們在您離開時需要對這些伺服器/工作站進行管理存取)。
我必須管理對我們環境中每個組件的訪問,以允許初級員工訪問一組有限的功能和訪問權限,以便為我提供支援......而不授予他們訪問網域的功能級別和訪問權限管理員會有。這是一個艱鉅的過程,需要記錄下來。我必須將控制權委託給有限範圍的 AD,設定 RDP 限制,授予對我們伺服器上的檔案系統的有限存取權限,授予對 Exchange 伺服器、DNS 等的有限存取權限。