我公司有一个小型的基于 Windows 的网络,包括一台 Win2008 服务器作为域控制器,以及另一台较旧的 Win2003 服务器作为“备份”域控制器。现在我想让我的一位同事访问 Win2003 服务器,包括本地管理员权限。
但是,此帐户只能在该服务器上获得本地管理员权限,不能拥有其他任何权限。因此,我基本上想阻止此帐户访问或至少修改任何 Windows 域设置 (Active Directory)。他也不应该能够登录除此旧服务器之外的任何其他计算机。但他必须能够(卸载)安装程序并启动/停止该服务器上的服务。
有什么办法吗?提前感谢您的帮助!
谨致问候,马蒂亚斯
答案1
您不能让某人成为 DC 上的管理员并阻止他们访问 ADUC、GPO 等。您可以让他们成为域上的 Built-in\Administrators 的成员,然后允许他们做任何他们想做的事情。
DC 上没有本地帐户。
这就是使用域控制器的原因之一仅有的Active Directory 和 DNS 并在其他服务器上运行其他服务。管理委派更加容易,而且更加安全/稳定。
答案2
将他们放入服务器操作员组将为您提供该功能,但我的理解是,由于他们拥有服务器操作员权限,它还将使他们能够“升级”他们的帐户(如果他们愿意的话)。
一旦他们拥有 DC 的“管理员级别”权限,您将无法阻止他们做任何事情。
我相信 JoeWare 的 Joe Richards 过去在他的博客中对此发表过评论。基本上,如果您不信任某人,请不要授予他们访问 DC 的权限。
答案3
我只是提出这个想法,因为我不确定它是否会像你想要的那样工作,但也许你可以考虑将他添加到机器上的 Power Users 组。这应该会给他足够的权限在机器上安装软件。如果不属于至少域管理员组或明确授予对 Active Directory 信息的权限,我认为他无法接触任何内容。也许创建一个测试域用户,将他与您的同事放在同一个组中,然后将他添加到机器的 Power User 组,看看你可以访问什么,不能访问什么。
编辑:参见 joeqwerty 的评论... 看起来 DC 上不存在 Power User 组