寻找有关如何设置我们的 IT 管理员授权和服务器访问的一些建议或技巧。我从一个新组织开始,发现每个 IT 员工都是域管理员。看起来这让每个人都可以在域和服务器上做他们需要做的事情。我已经开始尝试组织每个人并让他们获得他们真正需要的东西的过程。寻找有关如何设置环境的建议?我们不是一个大型组织,在一个特定时间拥有 10 到 15 名 IT 员工。这是我想做的事情。
1:创建 2 个新的安全组。1 个用于帮助台,1 个用于服务器操作员。为帮助台委派添加计算机和重置密码的权限。服务器操作员将具有相同的权限,但也会将该组添加为他们需要访问的服务器的管理员。仍然有 2 个域管理员可以完全控制。
2:为这两个新组授予对所有共享的访问权限,以便他们可以帮助用户处理已删除的文件或任何其他常见任务。
将来,我将创建特定于应用程序的管理安全组,例如 CRMAdmins、ExchangeAdmin 等……我可以将用户投入到实际需要维护和在这些服务器上工作的用户中。
我担心的是,由于每个人都拥有完全访问权限,因此我可能会在尝试保护这件事时切断对用户的访问权限。任何想法或建议,如果这是一条好路径,或者关于如何布置它的任何想法,将不胜感激。我们在 Server 2012 域上运行。谢谢。
我们为各种任务设置基于角色的访问控制。
对于需要配置帐户/组/联系人的团队,我们创建了一个单独的组。该组在域顶部被分配了以下权限:
然后是域顶部的每个对象类型(用户/组/联系人)的 ACE,它授予对这些对象类型的完全控制权。
同样,对于需要加入计算机的团队,一个单独的组提供以下访问权限:
授予对计算机对象的完全控制权可能是不可取的,这将是您需要评估的事情。另请注意,建议对预登台计算机进行一些单独的控制/过程。至少,域控制器 OU 应该删除权限继承,这将防止那些继承的组权限修改域控制器。
对于企业管理员可能需要的权限,我们做了类似的事情。具体来说,这将包括添加/修改/删除站点或 DHCP 管理的能力。
这基本上就是您要遵循的模式。确定他们需要什么访问权限,在非生产环境中对其进行测试,然后在生产环境中实施访问控制。
可能不明显/值得一提的是,我们不使用 Windows 内置组(例如“域管理员”)来授予访问权限。当您创建自己的基于角色的访问控制组时,您不需要包括域管理员或企业管理员。