Windows OU 管理能力受限

Windows OU 管理能力受限

我们的组织最近对安全措施进行了更改,我有一个要求,想知道是否可以实现。

因此,我们的团队(假设 Jim、Tim、Johnny、Sonny 和 Mary)正在为客户(1、2、3、4、5、6、7)管理域。我们现在的做法是,在该 OU 下创建用户并创建安全组,并让用户通过安全组访问相应的客户环境。类似这样的 在此处输入图片描述

随着更多客户(8、9、10)的加入,我们将创建此类安全组并添加所需的用户。我希望只有 Jim 和 Tim 可以管理客户 3 和客户 4 安全组 (SG),以便在这些 SG 中添加和删除用户,同时保留修改客户 1、2、5、6、7 以及创建/修改客户 8、9、10 SG 等的能力。他们将像超级管理员一样(不知道这是否是 Windows AD 中的一个术语)。现在,Johnny、Sonny 和 Mary 将保留修改客户 1、2、5、6、7 的能力,随后还可以在需要时添加客户 8、9、10,但他们绝对没有修改客户 3 和 4 的权限。他们最多只能拥有读取/查看权限。

我们创建 SG 时通常遵循的命名约定是 [云]-[客户]-[访问]。是否可以通过创建某种角色或 GPO 来实现这一点,这些角色或 GPO 执行正则表达式模式搜索并限制所述资源。

目前我们所有人都是域管理员。我可能必须再创建一个容器,将 Johnny、Sonny 和 Mary 放入其中,而将 Jim 和 Tim 列为域管理员。我不知道,只是试着大声思考。

答案1

是否可以通过创建某种执行正则表达式模式搜索的角色或 GPO 来实现这一点......

简短回答:不。由于所有对象资源都由其 (GU)ID 而不是(可能不断变化且国际上不同的)字符串管理,因此正则表达式没有任何意义。

不知道这是否是 Windows AD 中的一个术语

同样简短的回答:不需要。没有必要这样做,因为 Windows 几乎为所有东西都设置了 ACL。这确实不会禁止您随意称呼您的组。

让我想起一个客户网站,里面有“admins”、“admin_admins”、“super_admins”、“universal_admins”和“universal_admin_admins”。美好的时光。

可能的解决方案是将不同的组放在不同的 OU 中,并附加所述 ACL,或者仅使用 powershell(可以执行正则表达式和许多其他有用的东西)创建/管理这些组。

相关内容