资讯科技人员代表团的建议

Question

寻找一些关于如何使用委托和服务器访问设置我们的IT管理员的建议或技巧。我从一个新的组织开始，发现每个IT工作人员都是一个域管理员。看起来每个人都可以在域名和服务器上做他们需要做的事情。我已经开始尝试组织每个人，让他们获得他们真正需要的东西。寻找关于你如何设置你的环境的建议？我们不是一个庞大的组织，在一个地点都有10到15名IT工作人员。这就是我想要做的。

1:创建2个新的安全组。1用于HelpDesk，1用于服务器运算符。为Helpdesk委派添加计算机和重置密码的权限。服务器操作员将拥有相同的功能，但也会将组添加为他们需要访问的服务器的管理员。仍然有两个完全控制的域管理员。

2:让这两个新组访问所有共享，这样他们就可以帮助用户完成删除的文件或任何其他常见的任务。

在未来，我将创建应用程序特定的管理安全组，如CRMAdmins、ExchangeAdmin等.我可以将用户抛到其中，这实际上需要在这些服务器上进行维护和工作。

我担心的是，由于每个人都有完全的访问权限，所以在我试图保护这个东西的时候，我可能会减少对用户的访问。任何想法或建议，如果这是一条好的道路，或任何想法，你如何安排它，将不胜感激。我们正在服务器2012域上运行。谢谢。

Answer 1

我们为各种任务设置了基于角色的访问控制。

对于需要提供帐户/组/联系人的团队，我们创建了一个单独的组。在域顶部为该组分配了以下权限：

• 创建/删除用户对象
• 创建/删除组对象
• 创建/删除联系人对象

然后在授予这些对象类型完全控制的域顶部为每个对象类型(用户/组/联系人)提供ACE。

同样，对于需要加入计算机的团队，一个单独的组提供对以下内容的访问：

• 创建/删除计算机对象

对计算机对象授予完全控制可能是不可取的，这将是您需要评估的内容。还请注意，建议对预暂存计算机进行一些单独的控制/处理。至少，域控制器OU应该删除对权限的继承，这将防止这些继承的组权限修改域控制器。

对于企业级管理员可能需要的权限，我们会做类似的事情。具体来说，这将包括添加/修改/删除站点或DHCP管理的能力。

这基本上就是你要遵循的模式。确定他们需要什么访问，在非生产环境中进行测试，然后在生产中实现访问控制。

可能并不明显/值得一提的是，我们不使用Windows内置组(如“域管理员”)来授予访问权限。当您选择创建基于角色的访问控制组的路线时，不需要包含域管理员或企业管理员。