我正在努力保护一个有 50 个客户端的 Windows 2003 域。我正在进行的首要任务是从域管理员组中删除技术支持人员。但是,我需要他们仍然可以:
- 解锁用户账户 -> 完成
- 操作服务器(备份和重置)-> 完成
- 操作打印机 -> 完成
- 故障排除工作站 -> !CHAN!
我正在考虑在每个工作站上向“本地管理员”组添加一个名为“支持”的域本地组,您对这种方法有何看法?
谢谢!
答案1
如果他们需要排除工作站故障,他们确实需要本地管理员权限。
您的方法是正确的:使用域组(但如果您想将其嵌套在其他任何内容中,它必须是域全局的),并将用户帐户放入其中;最好不要将权限分配给特定的用户帐户,组就是为此目的而存在的。
关于将组添加到每个工作站上的本地管理员组:请不要手动执行此操作:-)
使用带有命令的简单机器启动脚本net localgroup Administrators /add DOMAIN\YourGroup,或者使用“受限组”组策略设置。
答案2
创建“工作站管理员”域本地范围组。将所有工作站放在一个公共 OU 层次结构或同一个 OU 中。将 GPO 与管理员组的受限组设置链接起来,以仅包含工作站管理员。现在,接下来将任何应具有此访问权限的人员的逻辑组放入该组中。您可能希望将“支持”和“域管理员”嵌套在该组中。