Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Ограничение прав администратора домена (http://forum.oszone.net/showthread.php?t=232776)

AxeL_FoX 13-04-2012 21:19 1899086
Ограничение прав администратора домена
 
Здравствуйте, Уважаемые!

Возник следующий вопрос, конечно-же вытекающий из необходимости : )

Рассмотрим банальный пример, который имеется у меня:
Есть доменная организация.
В данной организации имеется 1 старший системный администратор, которому вверены сервера и управление ими.
Также в организации имеются 4 системных администратора, но скорее эникейщика (Help-Desk). Те люди, которые обслуживают пользовательские рабочие места ОТ и ДО. Но не имеют никакого отношения к серверам.
И вот тут возникает вопрос: Какие права им дать?
Безусловно они должны иметь право ввести в домен и вывести из него, пользовательскую машину.
Должны на любой машине пользователя - иметь права администратора, без ограничений. (установить программу, изменить какие-то настройки и т д.)

Конечно-же можно спокойно дать им Администратора домена, который со всем вышеперечисленным справляется на УРА.
Однако тут встает другой вопрос безопасности:
Я не хочу, чтобы эти люди имели право на изменение учетных данных пользователей и вообще не касались серверных оснасток. Таких, как AD, DNS, DHCP ну и т д.

Подскажите пожалуйста: каким образом можно реализовать делегирование полномочий, соответствуя вышесказанным требованиям?
Спасибо!

leonty 14-04-2012 08:32 1899303
Цитата:
Цитата AxeL_FoX
Подскажите пожалуйста: каким образом можно реализовать делегирование полномочий, соответствуя вышесказанным требованиям? »
сюда

snark 15-04-2012 13:36 1900069
AxeL_FoX, про ввод в домен здесь.
Тех четверых системных администраторов-эникеев соберите в группу IT-HelpDesk (к примеру), и при помощи Restricted Groups распространите эту группу на все машины домена, включив ее в состав группы локальных администраторов. Таким образом, хелпдески будут иметь полные права на машине (смогут поставить программу, поменять настройки и пр.), но не будут иметь прав администратора домена.

AxeL_FoX 15-04-2012 13:38 1900072
leonty, snark, Спасибо Вам, Уважаемые! ;)
Испробую и в случае успеха - поставлю решенной!

AxeL_FoX 15-04-2012 21:49 1900303
snark,
Все вроде-бы доходчиво и понятно, однако некоторые пункты, такие-как:
Цитата:
Смена пароля (Change password) ' Восстановление пароля (Reset password) ' Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name) ' Удостоверенная запись на узел с именем участника службы
это из 8 пункта - я не нашел в свойствах пермишинсов.
Мб из-за того, что я выставлял на OU, который у меня установлен по умолчанию?
Я в свое время сделал по умолчанию другой OU для новых компьютеров. И соответственно, сейчас устанавливал разрешения на него.
Посмотрим на рабочей неделе - все это в действии.
Спасибо!

snark 15-04-2012 22:15 1900326
AxeL_FoX, я ставил на контейнер Computers — там точно все есть:


Время: 15:58.

Время: 15:58.
© OSzone.net 2001-