Windows AD授權管理

windows server ad

shadowpeople 2018-10-23 07:03:04 ‧ 4584 瀏覽

小弟目前工作的公司有規定不得將一般使用者、群組設定為Domain Admin或Administrator
且Domain Administrator的密碼需密封存放(平常不得使用)
但是IT人員需要管理
Domain Computer(加入、移除網域、刪除、搬移網域電腦位置)
Domain Users and Group(新增、刪除、停用、啟用網域使用者、群組)
Domain Group Policy Management(網域群組原則的新增、調整、刪除)

請問各位先進有什麼好的方式，不將使用者的帳號設定為Domain Admin的前提下
讓特定帳號或特定群組可以順利執行上述三個工作內容嗎？

網域環境 Windows Server 2012R2
目前有在IT的電腦安裝了AD套件，可以從使用者的電腦開啟 Active Directory Users and Computers項目
但是無法將現存一部分的帳號的刪除、停用，也無法調整GPO的設定。

看更多先前的討論...收起先前的討論...

小成 iT邦高手 10 級 ‧ 2018-10-23 08:24:47 檢舉

委派
https://i.imgur.com/aPi9s9G.png
或是直接設定OU的安全性
https://i.imgur.com/3xRrVfs.png
GPO也一樣

h1324512 iT邦新手 5 級 ‧ 2018-10-23 10:39:14 檢舉

除了委派外
或是有種東西，叫特權軟體
可以特定時間及允許使用的設備上指定某些特定帳號
給特別的ad權限，可以找看看試用版

harrytsai iT邦新手 1 級 ‧ 2018-10-23 11:00:03 檢舉

1.一般使用者大多給到Domain User就可以了
2.IT人員應該跟一般使用者不同
3.就算Domain Administrator不能使用,你也要建立一個次級的管理者,一般也都是把MIS加入Administrator群組裡面,一方面方便管理,一方面也不會去動到原來管理者帳號
4.你本身就應該要知道當權限有新增、刪除、修改,這樣的權限跟管理者的權限就相差不遠,這樣的限制並沒有太多意義

shadowpeople iT邦新手 1 級 ‧ 2018-10-24 02:33:46 檢舉

回覆小成：這邊有測試了OU安全性、委派甚至兩者都設定，卻發現部分現有的帳號無法停用或刪除，所以才求助。

回覆h1324512：就暫時不考慮特權軟體，看原本Windows內部機制是否有辦法可以達到這個功能。

回覆harrytsai：我懂您的意思，但是這個就是弔詭的地方，公司規定就是這樣不是我這個小螺絲丁可以要求修改的，但卻要求需達到這個層度。

此外，我不確定是否有辦法設定一個群組，讓這個群組的權限可以到接近Administrator or Domain Admin這個層級，有前輩可以指導的嗎？