Domain di Windows 2003. Miglior modo per assegnare permisioni al supporto tecnico

Sto lavorando per proteggere un dominio di Windows 2003 con 50 client. L'attività di pugno in cui sto lavorando è quello di rimuovere il personale tecnico di supporto dal gruppo Amministratore di dominio. Ma ho bisogno che possano ancora:

  • Sblocca account utente -> Fatto
  • Operare i server (backup e ripristino) -> Fatto
  • Azionare le printingnti -> Fatto
  • Risoluzione dei problemi delle workstation ->! CHAN!

Stavo pensando di aggiungere un gruppo locale di dominio denominato "Supporto" a un gruppo di "Amministratore locale" in each workstation, cosa ne pensi di questo approccio?

  • DHCP non è in grado di aggiornare il DNS
  • Fornire la prospettiva per aggiornare / aggiornare il calendario più spesso?
  • Ho diritti amministrativi in ​​Windows Server 2003, quindi perché mi sono negato l'accesso a una cartella?
  • Migliore editor ACL per le autorizzazioni di file di Windows
  • Monitoraggio di chi ha installato Software sul server
  • Autorizzazione negata in root documento vhost
  • Grazie!

    2 Solutions collect form web for “Domain di Windows 2003. Miglior modo per assegnare permisioni al supporto tecnico”

    Se dovranno risolvere i problemi delle workstation, avranno bisogno di diritti amministrativi locali.

    Il tuo approccio è giusto: utilizza un gruppo di dominio (ma deve essere globale di dominio se vuoi nidificarlo dentro qualsiasi altra cosa) e metta gli account utente in esso; è meglio non assegnare autorizzazioni a specifici account utente, i gruppi esistono esattamente a questo scopo.

    Informazioni sull'aggiunta del gruppo al gruppo Administrators locale in each workstation: non lo fanno a caso 🙂

    Utilizzare uno script semplice per l'avvio della macchina con il command net localgroup Administrators /add DOMAIN\YourGroup o l'impostazione dei criteri di gruppo Gruppi con restrizioni.

    Creare un gruppo di dominio locale di dominio "Workstation Admin". Metti tutte le stazioni di lavoro in una gerarchia comune OU o in una stessa OU. Colbind un object Criteri di gruppo con un'impostazione di gruppi limitati per il gruppo di amministratori per includere solo Workstation Admin. Adesso, dopo each gruppo logico di personale in quel gruppo che dovrebbe avere questo accesso. Probabilmente desidereresti "Supporto" e "Amministratori di dominio" nidificati in quel gruppo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.