我为一家大型公司工作,该公司在过去 5 年中收购了多个其他网站。我们将这些网站完全整合到我们的公司网站中。我现在遇到的问题是,大多数网站都有本地管理员,而这些管理员并不总是与我们友好相处。
所以现在的情况是,有时我们会在这些站点添加新服务器并停用旧服务器,而无需服务器团队的参与。我正在寻找一种基于操作系统类型限制加入域权限的方法。所以我想将所有服务器域加入功能限制为仅服务器团队。站点人员仍然需要能够将工作站添加到域中。
答案1
如果您不希望这些人将服务器加入域,您可能不希望他们成为域管理员。
您可以向他们授予受限权限帐户,这些帐户仅具有委派的权限,可以将机器加入封闭 OU 结构内的域,并运行有关在那里采取的行动以“拦截”未经授权的加入的报告,但这实际上不是一个技术问题;您的问题是您有一些拥有域管理员权限的人,您不信任他们来管理域,最好的答案永远是剥夺这些不值得信任的人的管理权限。