为临时域用户分配有限的权限以访问网络系统

为临时域用户分配有限的权限以访问网络系统

我在家里建立了一个小型的 Server 2008 R2 域网络,以便我可以学习和练习管理它。

假设我想创建一个临时用户帐户,以允许审计员访问域内工作站和服务器上的所有文件,但我不想授予完全管理员权限,只想授予所有文件的只读访问权限。

其次,我想让审核员能够根据需要执行 WMI 查询。

我该怎么做?我是否要为用户创建一个组并生成适用于该组的 GPO?我需要设置哪些属性?

谢谢您的任何建议!

编辑

我将审计员帐户分配给了备份操作员,但我发现无法访问管理共享,例如,“\MyPC.testserver.com\c$\”可以通过管理员帐户访问,但不能通过备份操作员帐户访问。

我在这里阅读了有关备份操作员内置组的信息:http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx

这表明

该组的成员可以备份和恢复域控制器在域中,无论他们自己对这些文件的个人权限如何。备份操作员还可以登录域控制器并将其关闭...

有什么方法可以修改管理员帐户,使其具有工作站的只读访问权限?

答案1

我总是为审计员等创建新的 AD 组。这样可以更轻松地找到它们、将任何 GPO 应用于组、启用/禁用等...

将该组添加到 AD 内置的备份操作员组。备份操作员组的成员可以读取用户通常无权访问的文件和目录。该组的成员身份允许用户打开任何文件以进行“备份”。

这将允许他们无需成为管理员即可读取连接到 AD 的机器上的任何文件。

相关内容