Przypisywanie ograniczonych uprawnień użytkownikowi tymczasowej domeny w celu uzyskania dostępu do systemów sieciowych

3

Ustawiłem w domu małą sieć domenową Server 2008 R2, dzięki czemu mogę się uczyć i administrować nią.

Powiedzmy, że chcę utworzyć tymczasowe konto użytkownika, aby umożliwić audytorowi dostęp do wszystkich plików na stacjach roboczych i serwerach w domenie, ale nie chcę nadawać pełnych uprawnień administratora, tylko dostęp tylko do odczytu do wszystkich plików.

Po drugie chciałbym umożliwić audytorowi wykonywanie zapytań WMI w razie potrzeby.

Jak mam to zrobić? Czy tworzę grupę dla użytkownika i generuję obiekt zasad grupy, który ma zastosowanie do tej grupy? Jakie właściwości musiałbym ustawić?

Dziękujemy za każdą radę!

EDYTOWAĆ

Przypisałem konto audytora Operatorom Kopii Zapasowych, ale stwierdziłem, że nie mogę uzyskać dostępu do udziałów administracyjnych, np. „MyPC.testserver.com c $” był dostępny z konta administratora, ale nie z operatorem kopii zapasowej.

Czytałem o wbudowanych grupach Operatorów kopii zapasowych tutaj: http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx

To wskazuje, że

Członkowie tej grupy mogą tworzyć kopie zapasowe i przywracać wszystkie pliki na kontrolerach domeny w domenie, niezależnie od ich indywidualnych uprawnień do tych plików. Operatorzy kopii zapasowych mogą również logować się do kontrolerów domeny i wyłączać je ...

Czy mogę zmodyfikować konto administratora, aby mieć dostęp tylko do odczytu do stacji roboczych?

TripleAntigen
źródło

Odpowiedzi:

1

Zawsze tworzę nowe grupy AD dla audytorów i tym podobnych. Ułatwia to ich odnalezienie, stosowanie dowolnych obiektów zasad grupy w grupie, włączanie / wyłączanie itp. ...

Dodaj tę grupę do grupy Operator kopii zapasowych wbudowanej w AD. Członek grupy Operatorzy kopii zapasowych może odczytywać pliki i katalogi, do których użytkownik normalnie nie miałby dostępu. Członkostwo w tej grupie pozwala użytkownikom otwierać dowolny plik do celów „tworzenia kopii zapasowych”.

Umożliwi im to odczytanie dowolnego pliku na komputerze podłączonym do AD bez bycia administratorem.

Keltari
źródło
Dzięki, świetna rada. Jeśli chodzi o część WMI, czy domyślnie umożliwia wykonywanie zapytań WMI?
TripleAntigen
Wierzę, że powinien ... nie mieć 100% pewności.
Keltari
Niestety grupa Operatorzy kopii zapasowych nie działała na stacjach roboczych, patrz edycje.
TripleAntigen