Назад | Перейти на главную страницу

Active Directory - профиль пользователя / администрирование рабочей станции без доступа к файловой службе - передовой опыт

Мы небольшая компания с 15 пользователями, которая сейчас настраивает свою первую службу Active Directory (1 компьютер с Windows Server 2016 Essentials). Я не уверен, как настроить безопасную среду для моей ситуации в отношении обслуживания рабочих станций (и я также новичок в этой теме).

Я ИТ-администратор, а также менеджер компании, и у меня есть сотрудник, который помогает мне поддерживать пользователей с их локальными машинами (назовем его «администратором рабочей станции»). У нас есть сложные надстройки Excel, пользовательские R-скрипты, пользовательские почтовые учетные записи, не относящиеся к домену, и т. Д. На наших рабочих станциях, и иногда пользователям требуется ИТ-поддержка, чтобы настроить, обновить, отладить что-то и т. Д. Поскольку профили довольно специфичны, большая часть настройки должна выполняться в локальном профиле пользователя.

Для этого пользователи передают свои компьютеры, вошедшие в систему, администратору рабочей станции, который затем берет на себя решение проблем с настройкой (затем пользователи обычно идут на встречу или выпивают кофе и т. Д.). Однако я бы не хотел, чтобы администратор рабочей станции имел доступ к SMB-ресурсам конфиденциальных пользователей (бухгалтерия, менеджеры, человеческие ресурсы) во время своей работы по обслуживанию.

На данный момент (используя файловый сервер Windows, но без домена) я делаю следующее: у меня есть сценарий входа / выхода, развернутый на машинах, чтобы пользователи могли выйти из файлового сервера и повторно подключиться к менее привилегированному пользователю. , поэтому появляются только "обычные" smb-акции. Политика заключается в том, что пользователи должны выйти из системы с помощью этого сценария, прежде чем передавать компьютер кому-то другому. Когда ПК возвращается, пользователи запускают сценарий входа в систему, который запрашивает учетные данные для возврата привилегированных общих ресурсов SMB. Оказалось, что это сработало для нас.

Я ищу решение для поддержания такого уровня безопасности в архитектуре Active Directory, и мне интересно, какое решение может быть лучшим (я действительно предполагаю, что у других компаний тоже есть эта проблема). Я рассмотрел несколько решений (дополнительный файловый сервер вне домена, шифрование общих ресурсов, многофакторная аутентификация и т. Д.), Но я не пришел к решению.

У вас есть предложения по этой проблеме? Спасибо!