1:创建2个新安全组. 1表示HelpDesk,1表示服务器运算符.为Helpdesk委派权限以添加计算机以及重置密码.服务器运算符将具有相同的功能,但也会将该组添加为他们需要访问的服务器的管理员.仍然有2个域管理员完全控制.
2:为这两个新组提供对所有共享的访问权限,以便他们可以帮助用户处理已删除的文件或任何其他常见任务.
在未来,我将创建特定于应用程序的管理安全组,如CRMAdmins,ExchangeAdmin等…我可以在那里抛出实际需要维护和处理这些服务器的用户.
我担心的是,由于每个人都有完全访问权限,因此我可能会限制用户访问权限.任何想法或建议,如果这是一个好的道路或任何关于你如何奠定它的想法将不胜感激.我们在Server 2012域上运行.谢谢.
对于需要配置帐户/组/联系人的团队,我们创建了一个单独的组.该组的权限位于域顶部,用于:
>创建/删除用户对象
>创建/删除组对象
>创建/删除联系人对象
然后在域顶部的每个对象类型(用户/组/联系人)的ACE,为这些对象类型授予完全控制权.
同样,对于需要加入计算机的团队,可以使用一个单独的组来访问:
>创建/删除计算机对象
授予对计算机对象的完全控制可能并不可取,这是您需要评估的内容.另请注意,建议使用一些单独的控制/进程来预先安装计算机.至少,域控制器OU应该删除权限的继承,这将阻止那些继承的组权限修改域控制器.
我们为Enterprise Admins可能需要的权限执行类似操作.具体来说,这将包括添加/修改/删除站点或DHCP管理的功能.
这基本上就是你要遵循的模式.确定他们需要的访问权限,在非生产环境中测试,然后在生产中实施访问控制.
可能不明显/值得一提的是,我们不使用Windows内置组(如“Domain Admins”)来授予访问权限.当您开始创建自己的基于角色的访问控制组的路线时,您不需要包括Domain Admins或Enterprise Admins.