Делегировать некоторые роли администратора, но не все?

Question

Клиент запросил группу вторичных администраторов AD, которые должны помочь пользователям выполнять обновления программы, настраивать принтеры и т.д. Клиент действительно хочет, чтобы эта группа вторичных администраторов, например, не могла прочитать содержимое полного диска клиента. Можно ли как-то делегировать подмножество прав администратора, чтобы иметь возможность обновлять / устанавливать и т.д., Но не по умолчанию, предоставляя полный доступ ко всему?

AD - это Server 2003, все клиенты - Windows 7.

Answer 1

Наряду с настройкой прав доступа к файлам для соответствующих групп (на локальном компьютере или в идеале через групповую политику в разделе "Конфигурация компьютера"> "Параметры Windows"> "Параметры безопасности"> "Файловая система") можно также предоставлять группам определенные "привилегии". Документация Microsoft доступна здесь:

http://technet.microsoft.com/en-us/library/dd277404.aspx

Вкратце, вам нужно создать или отредактировать объект групповой политики, и в консоли групповой политики выберите Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Назначение прав пользователя.

Некоторые имена политик могут потребовать немного толкования (если не сказать больше). Например, право "Загружать и выгружать драйверы устройств" контролирует возможность установки принтеров.

Answer 2

В зависимости от того, как вы внедряете свою реализацию на рабочих станциях в вашей сети, вы можете создать группу пользователей, которая считается администратором, а затем ограничить права доступа в каждом конкретном случае.

Поэтому, если вы используете систему, подобную Ghost Symantec, для настройки всех ваших рабочих станций, просто пройдите диалог разрешений (щелкните правой кнопкой мыши по папке> свойства> вкладка безопасности), чтобы указать, к каким областям пользователь не должен иметь доступ. Просто убедитесь, что при этом он выполняется рекурсивно во всех подпапках.

Любые права, которые вы хотите удалить, должны быть реализованы в каждом конкретном случае, либо путем манипулирования реестром, либо путем удаления более простых через диалог безопасности / разрешений Windows.