我在家里建立了一个小型的 Server 2008 R2 域网络,以便我可以学习和练习管理它。
假设我想创建一个临时用户帐户,以允许审计员访问域内工作站和服务器上的所有文件,但我不想授予完全管理员权限,只想授予所有文件的只读访问权限。
其次,我想让审核员能够根据需要执行 WMI 查询。
我该怎么做?我是否要为用户创建一个组并生成适用于该组的 GPO?我需要设置哪些属性?
谢谢您的任何建议!
编辑
我将审计员帐户分配给了备份操作员,但我发现无法访问管理共享,例如,“\MyPC.testserver.com\c$\”可以通过管理员帐户访问,但不能通过备份操作员帐户访问。
我在这里阅读了有关备份操作员内置组的信息:http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx
这表明
该组的成员可以备份和恢复域控制器在域中,无论他们自己对这些文件的个人权限如何。备份操作员还可以登录域控制器并将其关闭...
有什么方法可以修改管理员帐户,使其具有工作站的只读访问权限?
答案1
我总是为审计员等创建新的 AD 组。这样可以更轻松地找到它们、将任何 GPO 应用于组、启用/禁用等...
将该组添加到 AD 内置的备份操作员组。备份操作员组的成员可以读取用户通常无权访问的文件和目录。该组的成员身份允许用户打开任何文件以进行“备份”。
这将允许他们无需成为管理员即可读取连接到 AD 的机器上的任何文件。