我需要在我们的 Windows Server 2008 R2 机上创建一个组,允许成员执行以下管理任务:
- 不受限制地访问文件系统(尽管所有活动都已记录,并且对日志的访问是只读的,这导致......)
- 只读访问所有日志
- 停止/启动/重新启动服务
- 终止任何用户的进程
- 重启服务器
然而, 我不希望他们拥有以下权利:
- 安装/卸载软件
- 安装/卸载驱动程序
- 创建/修改用户
- 创建修改组
我最初的想法是创建一个组,将该组添加到管理员组,然后使用各种 ACL 来设置否定权限。但是,当您打开本地安全组的属性时,没有“安全”选项卡。除了使用 AppLocker 之外,我还想不出任何限制软件/驱动程序等安装的方法。
有没有人有设置这种半限制临时管理员组的经验?我想避免向第三方软件供应商或应用程序专家授予我们服务器的完全管理员访问权限,但需要他们能够在其应用程序上执行基本的故障排除任务。
答案1
您的要求有矛盾。
您无法拥有“不受限制的文件系统访问权限”并满足任何其他要求。任意文件系统访问权限(假设您所说的“不受限制”是指读/写)意味着可以替换系统二进制文件、覆盖配置文件等。您始终可以从任意的文件系统读/写访问权限“跨越”到“管理员”权限。删除该要求,就没什么大不了的了(但也不容易)。
您可以更改服务和事件日志上的安全描述符来实现这些目标。
终止任何其他用户的进程都会很困难。进程没有“默认安全描述符”,您可以更改它以包含允许这些半管理员随意终止进程的权限。
控制机器重启是小菜一碟。这只是一项特权。
我认为你有一些功课要做,但你想要的东西,有一些警告,在可能性范围内。