Joh*_*nyD 0 windows active-directory delegation
标题可能有点误导,但我对为两种不同场景委派管理访问权限的最佳实践感兴趣:
最初我只是将开发人员的 AD 帐户添加到本地管理员组,但这种策略很快变得难以管理。我的第二个想法是创建一个安全组,将所有开发人员添加到其中,并在他们需要访问的少数开发服务器上的本地管理员组下分配该组。请指出此策略的任何问题,或者是否有更好/更简单/更标准化的方法。
第二个:
始终创建组并为组分配权限,而不是人。然后从组中分配/删除人员。这是一个最佳实践,它将使您的生活更加轻松。
随着业务规模的扩大,您可以通过 Windows 中的内置工具将组的控制权委托给经理,以允许经理添加/删除人员。您限制访问并删除一些您必须做的工作。
你的问题的第二部分实际上应该是一个问题,因为答案是不同的。如有必要,我会为选定的备份人员创建辅助管理帐户)。这不是日常使用的帐户(没有电子邮件等),但它确实在域中具有更高的权限。如果我要出城或长时间不在办公室,我可以激活这些管理员帐户并让我的备份处理事情。
您还可以将“重置密码”等权限的控制权委托给经理/团队负责人,这样人们就不必为此直接与您联系。