iT邦幫忙

0

WINDOWS SERVER 2003 DOMAIN 分派權限比新入職的初級管理員問題

匿名 2010-02-25 00:01:347418 瀏覽
  • 分享至 

  • xImage

各位,
我是一個網管員,一直以來也是一個人管理全公司的SERVER 2003 R2 及網絡,由0開始設計 AD 及建立,目前公司只有單域 ABC.COM

由於是只有我一個人管理的關係,並沒有在 AD 下建立細化的 OU ,OU 只簡單分為, IT, HR, SALE 那樣子... 並在下面再建立用戶及用戶組別..簡化了管理...
幾年下來都沒問題

可是問題現在來了,公司為了減輕我負擔及後備支援人選(公司在增長),會有多一位 IT 加入,但卻只是助手性質,主要看下 EVENT LOG, 管理網絡分享出來的FOLDER (DFS-R),更改用戶密碼,在用戶的工作站可以安裝軟件,重設打印機池等等的一般管理工作....

但我卻不想把他加入AD 的ENTERPRISE ADMIN 組別,以防意外改了AD 的SCHEMA, 及ENTERPRISE ADMIN 的密碼, DNS 及 DFS-R, DSR 的設定等等.....

請問你們各IT 主管,什麼分配日常的管理權比下屬?
及如何設定?希望最好有教學文章如微軟 KB 或應該在 GOOGLE 內打入什麼關鍵字作尋找

十萬分感激

匿名 檢舉
不過對AD 的物件不熟,都要好花時間試 DELEGATE CONTROL WIZARD 內的自訂功能
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

8
marshuang
iT邦新手 1 級 ‧ 2010-02-25 08:24:56
最佳解答

使用AD委派
請參考官方網址,下方有個AD_Delegation.doc文件參考.

匿名 檢舉

那麼組織單位耍設計一下嗎?

例如如果我在 DOMAIN ABC.COM 建立一個一般 DOMAIN USER 叫 PETER
可以比佢管理客戶機打印機池重設
在客戶機上安裝軟件....

我就是不想他動 AD 內的東西

marshuang iT邦新手 1 級 ‧ 2010-02-26 10:52:27 檢舉

可針對人去做負向或正向表列給與權限,但Windows的精神是希望你用OU去管理.
不想讓特定IT人員動設定,最好的方法就是明白告知其不准動,動就送辦...哈
不得已才增加複雜度去GP設定限定只有你及特定IP電腦才能做設定,
或給與其Script執行,或網頁介面執行,或Runas應用,總之就是不要給管理者權限或遠端桌面或mmc方式登入變更.

我要發表回答

立即登入回答