在 Windows 域中,是否可以创建一个 Active Directory 组“WebDevelopers”,它就像普通用户组一样,只是用户在其本地 IIS 上还拥有管理员权限(例如,inetmgr 和 iisreset)?
笔记:
不是整体管理员权限,因为他们可以安装程序和修改系统。
答案1
这很困难,因为在大多数情况下,您必须拥有提升的权限才能运行 IIS 管理器管理单元,更不用说执行命令来执行某些管理功能了。
更不用说 IIS 安全模型将用户存储在其自身内,然后将权限委托给各个站点和应用程序。
我只是不知道是否有 GPO 或其他设置可以预先配置所有这些。最有可能的是,您可以创建一个庞大的 PowerShell 脚本来为它们可能需要的每个程序配置 ACL,然后使用 IIS PowerShell cmdlet 在 IIS 中配置权限。
他们是否需要在本地执行特定功能?
或者,我们谈论的是这些开发人员机器吗?如果是这样,他们很可能无论如何都需要提升权限才能运行 Visual Studio 或任何其他 IDE。更不用说当前的开发趋势通常需要安装包、SDK 和其他东西来管理。如果这些是开发机器,您可能需要认真考虑提供本地管理员权限并建立重新映像系统来处理出现问题的情况。