windows – IT工作人员代表团的建议

前端之家收集整理的这篇文章主要介绍了windows – IT工作人员代表团的建议前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
寻找有关如何使用委派和服务器访问权限设置IT管理员的一些建议或提示.我从一个新的组织开始,看到每个IT员工都是域管理员.看起来这样每个人都可以在域和服务器上执行他们需要做的事情.我已经开始尝试组织每个人并让他们访问他们实际需要的内容.寻找有关如何设置环境的建议?我们不是一个庞大的组织,在一个地方,在特定时间有10到15名IT员工.这就是我的想法.

1:创建2个新安全组. 1表示HelpDesk,1表示服务器运算符.为Helpdesk委派权限以添加计算机以及重置密码.服务器运算符将具有相同的功能,但也会将该组添加为他们需要访问的服务器的管理员.仍然有2个域管理员完全控制.

2:为这两个新组提供对所有共享的访问权限,以便他们可以帮助用户处理已删除文件或任何其他常见任务.

在未来,我将创建特定于应用程序的管理安全组,如CRMAdmins,ExchangeAdmin等…我可以在那里抛出实际需要维护和处理这些服务器的用户.

我担心的是,由于每个人都有完全访问权限,因此我可能会限制用户访问权限.任何想法或建议,如果这是一个好的道路或任何关于你如何奠定它的想法将不胜感激.我们在Server 2012域上运行.谢谢.

我们为各种任务设置基于角色的访问控制.

对于需要配置帐户/组/联系人的团队,我们创建了一个单独的组.该组的权限位于域顶部,用于:

>创建/删除用户对象
>创建/删除组对象
>创建/删除联系人对象

然后在域顶部的每个对象类型(用户/组/联系人)的ACE,为这些对象类型授予完全控制权.

同样,对于需要加入计算机的团队,可以使用一个单独的组来访问:

>创建/删除计算机对象

授予对计算机对象的完全控制可能并不可取,这是您需要评估的内容.另请注意,建议使用一些单独的控制/进程来预先安装计算机.至少,域控制器OU应该删除权限的继承,这将阻止那些继承的组权限修改域控制器.

我们为Enterprise Admins可能需要的权限执行类似操作.具体来说,这将包括添加/修改/删除站点或DHCP管理的功能.

这基本上就是你要遵循的模式.确定他们需要的访问权限,在非生产环境中测试,然后在生产中实施访问控制.

可能不明显/值得一提的是,我们不使用Windows内置组(如“Domain Admins”)来授予访问权限.当您开始创建自己的基于角色的访问控制组的路线时,您不需要包括Domain Admins或Enterprise Admins.

猜你在找的Windows相关文章