寻找一些关于如何为我们的 IT 管理员设置委派和服务器访问权限的建议或提示。我在一个新组织开始工作,发现每个 IT 员工都是域管理员。看起来这允许每个人在域和服务器上做他们需要做的事情。我已经开始尝试组织每个人并让他们访问他们真正需要的内容。寻找关于你们如何设置环境的建议?我们不是一个庞大的组织,在一个地方有 10 到 15 名 IT 员工。这是我想到的做法。
1:创建 2 个新安全组。1 个用于 HelpDesk,1 个用于服务器操作员。委派权限给 Helpdesk,以添加计算机以及重置密码。服务器操作员将拥有相同的权限,但也会将该组添加为他们需要访问的服务器的管理员。仍然会有 2 个拥有完全控制权的域管理员。
2:让这两个新组访问所有共享,以便他们可以协助用户删除文件或执行任何其他常见任务。
将来,我将创建特定于应用程序的管理员安全组,例如 CRMAdmins、ExchangeAdmin 等...我可以将实际需要维护和操作这些服务器的用户放入其中。
我担心的是,由于每个人都拥有完全访问权限,因此在我尝试确保安全时,我可能会切断用户的访问权限。如果这是一条好路,或者您对如何布局有任何想法,我们将不胜感激。我们正在 Server 2012 域上运行。谢谢。
答案1
我们为各种任务设置了基于角色的访问控制。
对于需要配置帐户/组/联系人的团队,我们创建了一个单独的组。该组在域顶部分配了以下权限:
- 创建/删除用户对象
- 创建/删除组对象
- 创建/删除联系人对象
然后,在域顶部为每种对象类型(用户/组/联系人)提供一个 ACE,授予这些对象类型的完全控制权。
同样,对于需要加入计算机的团队,需要有一个单独的组来提供访问权限:
- 创建/删除计算机对象
授予计算机对象的完全控制权可能并不可取,这是您需要评估的事情。另请注意,建议对预演计算机进行一些单独的控制/处理。至少,域控制器 OU 应该删除权限的继承,这将阻止那些继承的组权限修改域控制器。
我们对企业管理员可能需要的权限做了类似的事情。具体来说,这将包括添加/修改/删除站点或 DHCP 管理的能力。
这基本上就是您要遵循的模式。确定他们需要什么访问权限,在非生产环境中进行测试,然后在生产中实施访问控制。
可能不太明显/值得一提的是,我们不使用 Windows 内置组(例如“域管理员”)来授予访问权限。当您创建自己的基于角色的访问控制组时,您不需要包括域管理员或企业管理员。