我们的系统管理员在服务器和工作站上处理大量任务。我希望他们能够管理所有服务器和角色(DNS、DHCP、远程桌面服务),但更改域管理员帐户的组成员身份以及获取文件服务器上文件和文件夹的所有权除外。(我不希望他们提升自己的帐户)。
我一直在考虑让他们成为服务器操作员组的成员,但我似乎找不到有关这是否会提供太多权限的信息。另一个想法是让他们成为成员服务器的本地管理员,但这会允许他们更改我们文件服务器上的权限。(我想我可以将这个组从这个服务器中豁免)。
这是我迄今为止的思考过程:
要管理工作站:使 sysadmins 成为本地管理员组的成员。
要管理服务器:将系统管理员添加到以下内置服务器组:DnsAdmins 事件日志读取器 网络配置操作员 性能监视器用户 打印操作员 远程桌面用户
顺便提一下,系统管理员也是第三组的成员,拥有管理用户和计算机帐户以及重置密码的委派权限。
我感谢任何想法、澄清或建议。
答案1
应用于该服务器的组策略对象可能会满足您的需要。下面提到的所有设置都可以在计算机配置 → 策略 → Windows 设置 → 安全设置下找到。
- 在本地策略 → 用户权限分配下,您可以编辑谁有权拥有对象的所有权。通常是管理员组,但您可以创建另一个组,或为此使用 AD 组。
- 在“受限组”下,您可以定义谁是管理员组的成员。每次同步 GPO 时,无论本地进行了何种更改,组的成员都将被覆盖。
然后,您可以将管理员成员资格留给维护服务器的人员,并依赖组策略施加的限制(例如,您还可以强制执行某些安全日志记录)。然后,根据您需要管理的服务器角色,权限较低的组中的组成员资格可能就足够了,但我从未检查过这部分。