在Windows上限制Sysadmin组

Question

我们的系统管理员处理服务器和工作站上的大量任务。我希望他们能够管理所有服务器和角色(DNS、DHCP、Remote服务)，但域管理员帐户组成员的更改以及文件服务器上文件和文件夹的所有权除外。(我不希望他们抬高自己的账户)。

我一直在研究如何使他们成为Server运算符组的成员，但我似乎找不到关于这是否会提供太多特权的信息。另一种想法是让它们成为成员服务器的本地管理员，但这将允许它们更改我们文件服务器上的权限。(我想我可以将这个组排除在这个服务器之外)。

到目前为止，这是我的思考过程：

若要管理工作站，请使系统管理员成为本地管理员组的成员。

要管理服务器:将sysadmins添加到以下内置服务器组: DnsAdmins事件日志阅读器、网络配置操作员、性能监视器用户、打印操作员、远程桌面用户

顺便提一句，Sysadmins也是第三个组的成员，他们有权管理用户和计算机帐户，并重置密码。

我感谢你的任何想法、澄清或建议。

Answer 1

应用于该服务器的组策略对象可能会执行您需要的操作。下面提到的所有设置都可以在“计算机配置”、“→策略”、“→设置”、“→安全设置”中找到。

• 在本地策略→用户权限分配下，您可以编辑谁有权获得对象的所有权。通常是administrators组，但是您可以创建另一个组，或者为此使用AD组。
• 在“受限组”下，可以定义“管理员”组的成员。每次GPO同步时，组的成员都会被覆盖，不管在本地做了什么更改。

然后，您可以将管理员成员身份留给维护服务器的人员，并依赖组策略施加的限制(例如，您还可以强制执行一些安全日志记录)。然后，根据您需要管理的服务器角色，在一个功能较弱的组中的组成员身份可能已经足够了，但我从未检查过该部分。