背景:我们有一个正在生产的 Active Directory 环境,并且我们继续将更多机器和服务器移入其中。我们无法像通常那样直接访问用户对象来移动它们。相反,我们只能与用户组合作并向他们分配权限和设置,对于用户配置,我们必须使用环回处理。
我们的服务器,至少目前,都集中在一个 OU 中。我们为该 OU 附加了各种组策略,这些策略提供了一组常用配置。例如,我们有一个组策略只包含所有服务器的计算机配置项,一个组策略包含所有服务器的用户配置项,一个组策略为服务器提供本地管理员权限,其他组策略可覆盖这三个组策略中的策略,并针对需要覆盖设置的相应服务器进行安全过滤。
问题:我们有许多服务器,需要为传统 IT 员工以外的各种用户组提供额外的访问权限。例如,我们有一台运行桌面成像软件的服务器,帮助台用户组和普通 IT 员工需要拥有管理员访问权限和远程桌面。我们还有另一台服务器,会计团队和 IT 员工需要拥有管理员权限和远程桌面权限。我们还有另一台运行一些 HVAC 软件的服务器,设施需要这台服务器的额外访问权限以及外部供应商。
我们遇到的问题是继续扩展这些权限。随着我们添加新服务器并拥有需要权限的新用户组,它变得越来越难以管理。使用安全过滤和组策略优先级覆盖设置是站不住脚的,而且很难排除故障。有没有更好的方法来解决这个问题?我们应该如何设置这个环境来允许这样做?
答案1
根据您的描述,我建议分两个步骤进行组织:
- 根据角色和部门划分创建用户组
- 例如:会计团队、设施、IT 人员各一个组
- 为您想要授予的每种访问类型创建包含服务器计算机帐户的组。
- 例如:IT 访问一组服务器,设施访问一组服务器
然后,创建与您创建的每个计算机帐户组匹配的组策略对象。这些 GPO 将相关用户组放入适当的本地组(本地管理员、远程桌面用户等)。接下来,更改每个 GPO 的安全过滤以使用匹配的计算机帐户组,并将 GPO 分配给您的顶级 OU。
这样,您仍然可以提供影响所有服务器的组策略,或者遵循 OU 结构来执行 Windows 更新和其他设置等操作,同时让您对安全访问进行精细控制。
如果您雇用了新的 IT 人员:请将他们添加到 IT 用户组,这样他们就可以访问适当的服务器。如果设施需要访问新服务器:请将新服务器的计算机帐户添加到名为“设施服务器访问”的计算机组,这样任何现有的设施人员都可以访问 GPO 定义的服务器。
希望这是有意义的;如果不够清楚,我可以编辑。