|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Ограничение прав администратора домена |
|
2008 R2 - [решено] Ограничение прав администратора домена
|
Старожил Сообщения: 193 |
Профиль | Отправить PM | Цитировать Здравствуйте, Уважаемые!
Возник следующий вопрос, конечно-же вытекающий из необходимости : ) Рассмотрим банальный пример, который имеется у меня: Есть доменная организация. В данной организации имеется 1 старший системный администратор, которому вверены сервера и управление ими. Также в организации имеются 4 системных администратора, но скорее эникейщика (Help-Desk). Те люди, которые обслуживают пользовательские рабочие места ОТ и ДО. Но не имеют никакого отношения к серверам. И вот тут возникает вопрос: Какие права им дать? Безусловно они должны иметь право ввести в домен и вывести из него, пользовательскую машину. Должны на любой машине пользователя - иметь права администратора, без ограничений. (установить программу, изменить какие-то настройки и т д.) Конечно-же можно спокойно дать им Администратора домена, который со всем вышеперечисленным справляется на УРА. Однако тут встает другой вопрос безопасности: Я не хочу, чтобы эти люди имели право на изменение учетных данных пользователей и вообще не касались серверных оснасток. Таких, как AD, DNS, DHCP ну и т д. Подскажите пожалуйста: каким образом можно реализовать делегирование полномочий, соответствуя вышесказанным требованиям? Спасибо! |
|
Отправлено: 21:19, 13-04-2012 |
Ветеран Сообщения: 738
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 08:32, 14-04-2012 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 508
|
Профиль | Отправить PM | Цитировать AxeL_FoX, про ввод в домен здесь.
Тех четверых системных администраторов-эникеев соберите в группу IT-HelpDesk (к примеру), и при помощи Restricted Groups распространите эту группу на все машины домена, включив ее в состав группы локальных администраторов. Таким образом, хелпдески будут иметь полные права на машине (смогут поставить программу, поменять настройки и пр.), но не будут иметь прав администратора домена. |
Отправлено: 13:36, 15-04-2012 | #3 |
Старожил Сообщения: 193
|
Профиль | Отправить PM | Цитировать leonty, snark, Спасибо Вам, Уважаемые!
Испробую и в случае успеха - поставлю решенной! |
Отправлено: 13:38, 15-04-2012 | #4 |
Старожил Сообщения: 193
|
Профиль | Отправить PM | Цитировать snark,
Все вроде-бы доходчиво и понятно, однако некоторые пункты, такие-как: Цитата:
Мб из-за того, что я выставлял на OU, который у меня установлен по умолчанию? Я в свое время сделал по умолчанию другой OU для новых компьютеров. И соответственно, сейчас устанавливал разрешения на него. Посмотрим на рабочей неделе - все это в действии. Спасибо! |
||
Отправлено: 21:49, 15-04-2012 | #5 |
Ветеран Сообщения: 508
|
Профиль | Отправить PM | Цитировать |
Отправлено: 22:15, 15-04-2012 | #6 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
2008 R2 - [решено] Вывод из домена без прав администратора домена | Atreides1977 | Windows Server 2008/2008 R2 | 29 | 28-02-2019 16:22 | |
Как сбросить пароли локального администратора и администратора домена на Windows 2003 | Night-Elf | Microsoft Windows NT/2000/2003 | 3 | 21-05-2010 10:46 | |
предоставление прав Администратора пользователю из другого домена | new_win_user | Microsoft Windows NT/2000/2003 | 4 | 14-03-2010 23:04 | |
требование прав администратора | lud | Автоматическая установка Windows 11 / 10 / 8 / 7 / Vista | 4 | 17-09-2009 14:39 | |
Доступ - Ограничение прав | stdio | Microsoft Windows 2000/XP | 1 | 18-02-2008 08:10 |
|