我们有一些现场服务人员在当地为一些客户工作,我们想将管理文件服务器和打印服务器的任务转移给他们。首先,我们考虑给予他们本地管理员访问权限,但是这样做不是很安全。所以我的问题是,我们能否将文件 srv 和打印 srv 管理(创建共享/安装打印机/分配和更改权限)委托给 Windows 2008 R2 中的其他用户,而不授予他们完全管理员权限?
答案1
是的,但这比让他们成为本地管理员要复杂得多。从一般的“安装权限”中分离“打印机安装”权限也很棘手。
您可以使用 SuRun 或 Privilege Manager(Dell / ScriptLogic)之类的软件像 *nix 中的 sudo 一样工作 - 您可以指定可提升为管理员的特定程序,或者您可以编辑用户的 ACL 等...您还可以使用 AutoIT 之类的脚本来嵌入运行程序的管理员凭据,而无需与最终用户共享这些凭据(编译为 exe 时)。
更改权限只是 ACL 的一部分,您授予他们的安全组对这些文件夹/文件的“完全控制”权限,他们可以编辑权限,但他们甚至可以删除自己的权限来更改设置。