AxeL_FoX
13-04-2012, 21:19
Здравствуйте, Уважаемые!
Возник следующий вопрос, конечно-же вытекающий из необходимости : )
Рассмотрим банальный пример, который имеется у меня:
Есть доменная организация.
В данной организации имеется 1 старший системный администратор, которому вверены сервера и управление ими.
Также в организации имеются 4 системных администратора, но скорее эникейщика (Help-Desk). Те люди, которые обслуживают пользовательские рабочие места ОТ и ДО. Но не имеют никакого отношения к серверам.
И вот тут возникает вопрос: Какие права им дать?
Безусловно они должны иметь право ввести в домен и вывести из него, пользовательскую машину.
Должны на любой машине пользователя - иметь права администратора, без ограничений. (установить программу, изменить какие-то настройки и т д.)
Конечно-же можно спокойно дать им Администратора домена, который со всем вышеперечисленным справляется на УРА.
Однако тут встает другой вопрос безопасности:
Я не хочу, чтобы эти люди имели право на изменение учетных данных пользователей и вообще не касались серверных оснасток. Таких, как AD, DNS, DHCP ну и т д.
Подскажите пожалуйста: каким образом можно реализовать делегирование полномочий, соответствуя вышесказанным требованиям?
Спасибо!
Возник следующий вопрос, конечно-же вытекающий из необходимости : )
Рассмотрим банальный пример, который имеется у меня:
Есть доменная организация.
В данной организации имеется 1 старший системный администратор, которому вверены сервера и управление ими.
Также в организации имеются 4 системных администратора, но скорее эникейщика (Help-Desk). Те люди, которые обслуживают пользовательские рабочие места ОТ и ДО. Но не имеют никакого отношения к серверам.
И вот тут возникает вопрос: Какие права им дать?
Безусловно они должны иметь право ввести в домен и вывести из него, пользовательскую машину.
Должны на любой машине пользователя - иметь права администратора, без ограничений. (установить программу, изменить какие-то настройки и т д.)
Конечно-же можно спокойно дать им Администратора домена, который со всем вышеперечисленным справляется на УРА.
Однако тут встает другой вопрос безопасности:
Я не хочу, чтобы эти люди имели право на изменение учетных данных пользователей и вообще не касались серверных оснасток. Таких, как AD, DNS, DHCP ну и т д.
Подскажите пожалуйста: каким образом можно реализовать делегирование полномочий, соответствуя вышесказанным требованиям?
Спасибо!