iT邦幫忙

0

如何讓不同人管理部分多網域帳號與部分網路權限控管的問題

公司人數不到50人。
目前公司使用兩個網域(有兩台AD Servers - Windows Server 2003),一個網域[A]的帳號對外部,也就是Outlook登入的時候用的網域帳號 (Exchange 2003);另一個網域[B]的帳號是用在公司內部電腦登入時使用。

  1. 內部電腦是無法連上Internet的,預設防火牆全檔對外的連線。
  2. Exchange Server 2003 跟 公司內部電腦之間,透過firewall設備相連。
    網路示意: (PCs/Servers/AD[B])--[switch]s--[core switch]-(不允許連Internet)-[firewall]-(允許連外Internet)-[switch]--[spam-mail filter switch]--(Exchange Server 2003 / AD[A])
    目前並無切VLAN,沒有用DHCP,全部都是固定IP。
  3. 而網域[A]除了有員工登入outlook收信的網域帳號之外,其實還有一些帳號是給外部的使用者所開設的,開設的目的是讓他們可以透過帳號的登入,進入我們另一套服務的系統中使用。

現在的問題是,原本這些帳號管理(網域[A]、網域[B])/網路權限/網路檔案夾權限皆是我老闆在管的,但是因為牽涉到客戶帳號的密碼常常會需要重設(忘記了),因此我老闆無時無刻都會被我們電話 "騷擾",所以,希望能有一個解決辦法。

需求:

  1. 我老闆仍保有所有帳號的管控權,但是,希望客戶的帳號管理(網域[A]中的)可以獨立出來完全移交給IT其他同事管理(新增/修改/重設密碼等等)。另外,除了總經理室/會計室/業務單位之同仁/長官 的帳號密碼設定之外,其他同仁的帳號建立/修改/密碼重設等可以交由IT同事處理。
  2. 總經理室/會計室/業務單位之同仁/長官的電腦網路設定、所屬單位網路檔案夾的權限控管,仍只有我老闆可以碰觸處理,而所有其他單位同仁(包括IT其他同事)無權限管控這一塊,也可能因權限連看都看不到這些單位的電腦或是網路檔案夾中的內容,而IT同事則可以協助設定其他同是電腦或是伺服器相關的網路設定或是權限修改,或是網路檔案夾之類的管理。

對於需求1來說,或可以透過群組(Administratos/Power Users etc.)權限的控管達到目的嗎?

對於需求2來說,將總經理室/會計/業務單位的電腦網路線集中在同一個switch上,與core switch中間再多掛上一個throughput不高的firewall界接,只有我老闆可以進入該firewall作設定是可行的方式嗎?

或是有其他的做法推薦的?

謝謝各位大大。

看更多先前的討論...收起先前的討論...
runan5678 iT邦新手 2 級 ‧ 2018-09-19 19:52:20 檢舉
需求1:有個功能叫"委派" 可以嘗試看看
需求2:電腦的部分可以利用"委派"功能,資料夾的部分可以卡權限(不過這種做法後續維護只會越來越麻煩而已)
ou 物件委派
如上述兩位版友的建議,可以物件委派
但你自己要做好規劃還有紀錄,不然到後面會很亂
yenct iT邦新手 5 級 ‧ 2018-09-20 10:07:10 檢舉
感謝各位大大的建議,立馬來看關於OU相關的資訊。

尚未有邦友回答

立即登入回答