我们是一家拥有 15 名用户的小公司,目前正在设置其第一个 Active Directory(1 台装有 Windows Server 2016 Essentials 的机器)。我不确定如何为我的工作站维护情况设置安全的环境(而且我对这个主题也相当陌生)。
我是公司的 IT 管理员兼经理,我有一名员工帮助我为用户提供本地计算机支持(我们称他为“工作站管理员”)。我们的工作站上确实有复杂的 Excel 插件、用户特定的 R 脚本、用户特定的非域邮件帐户等,有时用户需要 IT 支持来配置、更新、调试某些内容等。由于配置文件非常具体,因此大多数配置都需要在本地用户配置文件中完成。
为此,用户将登录的计算机交给工作站管理员,然后由管理员处理设置问题(然后用户通常会去开会或喝咖啡等)。但是,我不希望工作站管理员在维护工作期间访问敏感用户(会计、经理、人力资源)的 SMB 共享。
目前(使用 Windows 文件服务器,但没有域)我执行以下操作:我在机器上部署了一个登录/注销脚本,以便用户可以从文件服务器注销并与权限较低的用户重新连接,因此只会出现“常规”smb 共享。策略是,用户需要通过此脚本注销才能将 PC 交给其他人。当 PC 归还时,用户运行登录脚本,该脚本要求输入凭据,以便返回特权 SMB 共享。事实证明,这对我们来说很有效。
我正在寻找一种解决方案,以便在 Active Directory 架构中保持这种安全级别,并且想知道最佳实践解决方案是什么(我确实认为其他公司也存在这个问题)。我考虑了几种解决方案(额外的非域文件服务器、共享加密、多因素身份验证等),但我没有找到解决方案。
你对这个问题有什么建议吗?谢谢!