我们的组织最近对安全措施进行了更改,我有一个要求,想知道它是否可以实施。
因此,我们的团队(比如说 Jim、Tim、Johnny、Sonny 和 Mary)正在为客户(1、2、3、4、5、6、7)管理域。我们现在的做法是在该 OU 下创建用户并创建安全组,并通过安全组授予用户访问相应客户环境的权限。像这样的东西
随着更多客户的加入 (8,9,10),我们将创建此类安全组并添加所需的用户。我想要实现的是只有 Jim 和 Tim 可以管理 Cust 3 和 Cust 4 安全组 (SG),以便在这些 SG 中添加删除用户,同时保留修改 Cust 1、2、5、6、7 和创建/modifying Cust 8,9,10 SGs 等等。他们就像超级管理员(不知道这是否是 Windows AD 中的一个术语)。现在 Johnny、Sonny 和 Mary 将保留修改 Cust 1、2、5、6、7 的能力,并在需要时添加 Cust 8、9、10,但他们绝对无权修改 Cust 3 和 4。他们可能拥有最大的阅读/查看权限。
我们创建SG通常遵循的命名约定是[Cloud]-[Customer]-[Access]。是否可以通过创建某种角色或 GPO 来执行正则表达式模式搜索并限制所述资源来实现这一点。
目前我们所有人都是域管理员。我可能必须再创建一个容器,并将 Johnny、Sonny 和 Mary 作为其中的一部分,而 Jim 和 Tim 则被列为域管理员。Idk,只是想大声思考。
简短的回答:没有。由于所有对象资源都由它们的 (GU)ID 管理,而不是(可能会改变和国际上不同的)字符串,因此正则表达式没有任何意义。
同样简短的回答:不。不需要这样的东西,因为 Windows 几乎所有东西都有 ACL。这确实不会禁止您随意调用您的群组。
记得我有一个客户网站,它有“admins”、“admin_admins”、“super_admins”、“universal_admins”和“universal_admin_admins”。美好时光。
可能的解决方案可能是将不同的组放置在不同的 OU 中,并附加上述 ACL,或者只是使用 powershell 创建/管理这些组(它可以执行正则表达式和一堆其他有用的东西)。