客户要求设立一组辅助 AD 管理员,他们应该能够帮助用户进行程序更新、配置打印机等。客户确实希望阻止这组辅助管理员读取客户端完整磁盘的内容。是否可以以某种方式委托一部分管理员权限,以便能够更新/安装等,但不是默认授予对所有内容的完全访问权限?
AD 是 Server 2003,所有客户端都是 Windows 7。
答案1
除了为相关组设置文件权限(在本地计算机上或最好通过计算机配置 > Windows 设置 > 安全设置 > 文件系统中的组策略)外,还可以向组授予特定的“权限”。Microsoft 文档可在此处找到:
http://technet.microsoft.com/en-us/library/dd277404.aspx
简而言之,您需要创建或编辑 GPO,然后在组策略控制台中转到计算机配置> Windows 设置> 安全设置> 本地策略> 用户权限分配。
有些策略名称可能需要一点解释(至少可以这么说)。例如,“加载和卸载设备驱动程序”权限控制安装打印机的能力。
答案2
根据您在网络上的工作站上实施的方式,您可以创建一个被视为管理员的用户组,然后逐案限制访问权限。
因此,如果您使用 Symantec 的 Ghost 之类的系统来设置所有工作站,则只需通过权限对话框(右键单击文件夹 > 属性 > 安全选项卡)来设置您希望用户无法访问的区域。只需确保在执行此操作时,它会递归执行到所有子文件夹中。
无论您想删除什么权限,都必须根据具体情况进行,可以通过注册表操作或通过 Windows 的安全/权限对话框删除更简单的权限。