标题可能有点误导,但我对两种不同场景委派管理访问权限的最佳实践感兴趣:
- 为开发人员提供对某些开发服务器的本地管理访问权限
最初,我只会将开发人员的 AD 帐户添加到本地管理员组,但这种策略很快就变得难以管理。我的第二个想法是创建一个安全组,将所有开发人员添加到其中,并将该组分配到他们需要访问的少数开发服务器上的本地管理员组下。请指出此策略的任何问题,或者是否有更好/更简单/更标准化的方法。
第二:
- 目前我是唯一拥有域管理员权限的人。我计划把一个装有密码的信封锁起来,这样如果我被车撞到(或发生类似事故),公司就不会陷入困境。然而,我最关心的是我能否休假并在休假期间将控制权委托给我的老板。
答案1
始终创建组并向组分配权限,而不是向个人分配权限。然后从组中分配/删除人员。这是最佳实践,将使您的生活更加轻松。
随着您的业务规模不断扩大,您可以通过 Windows 内置工具将群组控制权委托给经理,以允许经理添加/删除人员。您可以限制访问权限并减少一些您必须完成的工作。
您问题的第二部分实际上应该是一个独立问题,因为答案是不同的。我为作为我的后备人员的选定人员创建了辅助管理帐户(如果需要)。这不是日常使用的帐户(没有电子邮件等),但它在域中确实拥有提升的权限。如果我要出城或长时间不在办公室,我可以激活这些管理员帐户并让我的后备人员处理事情。
您还可以将“重置密码”等权限的控制委托给经理/团队负责人,这样人们就不必为此直接联系您。
答案2
关于您的第一点:我同意您的第二个想法(我赞同 Top_Hat 的建议)。创建一个开发人员组,将开发人员用户帐户添加到该组,然后通过组策略限制组或组策略首选项将该组添加到相关服务器/工作站上的本地管理员组。
至于您的第二点:这是一个棘手的情况。如果您是唯一一个拥有管理环境技能的人,那么您很难休假、请病假等。我的情况也一样。您可以使用控制委派为用户(或多个用户)提供有限的 AD 访问权限,以执行诸如重置密码、解锁用户帐户等任务。您委派多少控制取决于您对他们的技能和理解程度的满意程度,以及他们在您不在时需要做多少工作。您可以为这些用户创建一个组,并将此组添加到所选服务器/工作站上的本地管理员组,如果他们在您不在时需要对这些服务器/工作站进行管理访问。
我必须管理对我们环境中每个组件的访问权限,以允许初级员工访问一组有限的功能和访问权限,以便为我提供支持……但不授予他们域管理员所拥有的功能和访问权限。这是一个艰巨的过程,需要记录下来。我必须将控制权委托给有限范围的 AD,设置 RDP 限制,授予对我们服务器上文件系统的有限访问权限,授予对 Exchange 服务器、DNS 等的有限访问权限。