Microsoft Active Directory 管理员权限

Microsoft Active Directory 管理员权限

我们出现了问题:

我们所有的开发人员在其计算机上都拥有完全的管理权限。

我通过 GPO 策略设置了一个名为“本地管理员”的组,该组包括所有域用户(开发人员),并授予他们在工作站上的管理员权限。如果成员通过 RDP 连接,他们可以更改其他用户配置文件。

例如,如果我使用我的域用户通过 RDP 进入 George 的计算机,我就可以删除 C:\Users\George 中的所有文件。

我担心这个安全风险并想找到解决方案。

答案1

如果您的开发人员确实需要本地管理员权限,那么您至少应该让每个开发人员成为他/她自己计算机的唯一管理员。

让所有用户成为所有机器的管理员是一个糟糕的设计,只会带来麻烦。

相关内容