Assegnazione di autorizzazioni limitate a un utente di dominio temporaneo per accedere ai sistemi di rete


3

Ho installato una piccola rete di domini Server 2008 R2 a casa in modo da poter apprendere e esercitarmi ad amministrarla.

Diciamo che voglio creare un account utente temporaneo per consentire a un revisore di accedere a tutti i file su stazioni di lavoro e server all'interno del dominio, ma non voglio dare autorizzazioni di amministratore complete, solo l'accesso in sola lettura a tutti i file.

In secondo luogo, vorrei consentire al revisore di eseguire le query WMI, se necessario.

Come devo fare per fare questo? Posso creare un gruppo per l'utente e generare un oggetto Criteri di gruppo che si applica a quel gruppo? Quali proprietà dovrei impostare?

Grazie per qualsiasi consiglio!

MODIFICARE

Ho assegnato l'account del revisore agli Operatori di backup ma ho riscontrato che non potevo accedere alle condivisioni amministrative, ad es. "\ MyPC.testserver.com \ c $ \" era accessibile con l'account amministratore ma non con quello dell'operatore di backup.

Ho letto degli operatori di backup integrati nel gruppo qui: http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx

Indica quello

I membri di questo gruppo possono eseguire il backup e il ripristino di tutti i file sui controller di dominio nel dominio, indipendentemente dalle proprie autorizzazioni individuali su tali file. Gli operatori di backup possono anche accedere ai controller di dominio e spegnerli ...

Esiste un modo per modificare un account amministratore in modo che abbia accesso in sola lettura alle workstation?

Risposte:


1

Creo sempre nuovi gruppi di annunci per auditor e simili. Rende più facile trovarli, applicare eventuali oggetti Criteri di gruppo al gruppo, abilitare / disabilitare, ecc ...

Aggiungi quel gruppo al gruppo Operatore di backup incorporato in AD. Un membro del gruppo Operatori di backup può leggere file e directory per i quali l'utente normalmente non avrebbe accesso. L'appartenenza a questo gruppo consente agli utenti di aprire qualsiasi file a scopo di "backup".

Ciò consentirà loro di leggere qualsiasi file su una macchina connessa ad AD senza essere un amministratore.


Grazie, ottimo consiglio. Per quanto riguarda la parte WMI, consente di eseguire query WMI per impostazione predefinita?
TripleAntigen

Credo che dovrebbe ... non sicuro al 100%.
Keltari,

Purtroppo il gruppo Operatori di backup non ha funzionato per le workstation vedere modifiche.
TripleAntigen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.