我需要制定一个计划,用于组织 200 台 Windows 2003/2008 网络中系统管理员的权限。这些服务器位于通过双向信任连接的 5 个独立林中。
目前,我主要关注如何最好地组织这些组。所有系统管理员在其中一个林(林 A)中都有一个管理员帐户,我希望他们使用此帐户来管理一切。
据我了解,通常的最佳做法是:
将资源访问权限授予本地林中的域本地组。我通过创建 ForestB\MemberServerAdmins、ForestB\DCDNSAdmins、ForestC\ExchangeReadOnlyAdmins 等组来实现此目的,并且我从各种应用程序中将访问权限委托给这些组。
按角色将用户组织到林 A 中的全局组中,然后根据需要将这些全局组放入域本地组中。我猜这可以按部门进行,例如,您有一个组,如 ForestA\Operations,他们可以访问部分资源组,但不是全部资源组;另一个组,如 ForestA\Admins,他们可以访问所有资源组。这只是一个例子。
问题是,我们确实需要将这些权限分配给单个资源。我们是一家较小的公司,我没有一批用户必须拥有相同的权限。这使得上面的步骤 2 似乎对我们不起作用。我剩下的解决方案是在 ForestA 中创建全局组,这些组的名称与各种资源组基本相同,如下所示:
ForestA\ForestB 成员服务器管理员
ForestA\ForestB DCDNSAdmins
ForestA\ForestC ExchangeReadOnlyAdmins
然后将各个管理员帐户放入这些组中。
我知道这种双组解决方案在分配资源方面具有灵活性,但以这种方式进行设置是否有意义?我喜欢它,因为这样我就可以管理 ForestA 中的所有权限,并轻松查看任何管理员帐户以查看他们属于哪些组,以确定他们可以访问哪些内容。不过,我不确定这是最好的方法吗?
答案1
这样做的好处之一是,当您有人员变动时。由于一切都是通过组设置的,因此您可以创建新帐户,填充域 A 中的全局组,然后一切就绪了。
我不确定您考虑过哪些替代方案,但如果您考虑直接将域 A 中的用户对象放入其他域中的域本地组中,那么这样做会失去一些可见性。如果您查看域 A 中直接位于域 B 中的域本地组中的用户对象,则您不一定会在用户的“成员”选项卡中看到该域本地组。因此,要知道用户拥有哪些访问权限,您必须在各个域本地组中搜索用户对象。如果您使用此处提到的全局/本地样式,您只需查看用户的全局组成员身份即可快速了解他们拥有哪些访问权限。
此外,使用群组结构可以更轻松地发展。如果您不从一开始就设置群组,最终发展可能会促使您想要它们,而稍后再回去做群组可能会很痛苦。(不一定如此,但可以……)
只是一些想法,希望有所帮助。