Jim*_*mmy 3 active-directory user-permissions best-practices
如果之前有人问过这个,我很抱歉。如果我知道正确的搜索词,那么谷歌会更有效。
我想添加一个可以将计算机加入域的用户,在用户计算机上安装软件和打印机,甚至可以更改用户密码。
是否有类似帮助台角色可以做到这一点,但可以限制在服务器和网络上的特定文件夹之外(例如工资单)?
任何帮助表示赞赏。谢谢你。
Eva*_*son 10
您正在寻找Active Directory (AD) 中的控制委派,以授予您的“IT 助手”访问权限以在 AD 中执行有限的管理操作。此功能非常灵活,我建议您阅读一些内容并编写一些测试场景以熟悉它们。KB932455中概述了将计算机加入域的权限委派的具体步骤。不过,您可以委派更多。
对于客户端计算机访问,您可能正在谈论选择性地将本地“管理员”组的成员资格授予您的“IT 助手”。(他们必须在本地“管理员”组中才能安装软件。)组策略的受限组功能可以做到这一点。此功能允许您将域中的组“嵌套”到客户端计算机上的本地组中。通过在链接到客户端计算机所在的组织单位 (OU) 的组策略对象 (GPO) 中部署受限组策略,您可能会导致域“IT 助手”组自动添加到所有GPO 适用的计算机。
您执行的任何委派都应始终针对组,而不是针对个人用户。即使您现在只有一个“IT 助手”用户,您也应该使用群组来“面向未来”您的工作。
这两个功能都依赖于您的 AD 是否具有合理的设计。例如,如果您的所有客户端计算机都在一个组织单位中,并且您希望将“IT 助手”限制为仅是客户端计算机子集的“管理员”,那么您将很难实现这一目标要求。如果您的客户端计算机是按 OU 组织的,则能够更容易地将 GPO 链接到有选择地覆盖这些计算机的计算机。这同样适用于委派对 OU 层次结构的控制。
您应该阅读 AD 设计原则,以了解如何使您的 AD 能够很好地满足您的委托需求:
我自己的一些膨胀:
| 归档时间: |
|
| 查看次数: |
230 次 |
| 最近记录: |