各位,
我是一個網管員,一直以來也是一個人管理全公司的SERVER 2003 R2 及網絡,由0開始設計 AD 及建立,目前公司只有單域 ABC.COM
由於是只有我一個人管理的關係,並沒有在 AD 下建立細化的 OU ,OU 只簡單分為, IT, HR, SALE 那樣子... 並在下面再建立用戶及用戶組別..簡化了管理...
幾年下來都沒問題
可是問題現在來了,公司為了減輕我負擔及後備支援人選(公司在增長),會有多一位 IT 加入,但卻只是助手性質,主要看下 EVENT LOG, 管理網絡分享出來的FOLDER (DFS-R),更改用戶密碼,在用戶的工作站可以安裝軟件,重設打印機池等等的一般管理工作....
但我卻不想把他加入AD 的ENTERPRISE ADMIN 組別,以防意外改了AD 的SCHEMA, 及ENTERPRISE ADMIN 的密碼, DNS 及 DFS-R, DSR 的設定等等.....
請問你們各IT 主管,什麼分配日常的管理權比下屬?
及如何設定?希望最好有教學文章如微軟 KB 或應該在 GOOGLE 內打入什麼關鍵字作尋找
十萬分感激
使用AD委派
請參考官方網址,下方有個AD_Delegation.doc文件參考.
那麼組織單位耍設計一下嗎?
例如如果我在 DOMAIN ABC.COM 建立一個一般 DOMAIN USER 叫 PETER
可以比佢管理客戶機打印機池重設
在客戶機上安裝軟件....
我就是不想他動 AD 內的東西
可針對人去做負向或正向表列給與權限,但Windows的精神是希望你用OU去管理.
不想讓特定IT人員動設定,最好的方法就是明白告知其不准動,動就送辦...哈
不得已才增加複雜度去GP設定限定只有你及特定IP電腦才能做設定,
或給與其Script執行,或網頁介面執行,或Runas應用,總之就是不要給管理者權限或遠端桌面或mmc方式登入變更.