у нас есть несколько специалистов по обслуживанию, которые работают локально для некоторых наших клиентов, и мы хотим передать им задачи по управлению файловыми серверами и серверами печати. Сначала мы подумали о предоставлении им доступа локального администратора, но это не очень безопасно. Итак, мой вопрос: можем ли мы делегировать управление файлом srv и print srv (создавать совместное использование / устанавливать принтеры / назначать и изменять разрешения) другим пользователям в Windows 2008 R2, не давая им полные права администратора?
Да, но это намного сложнее, чем сделать их локальным администратором. Также сложно отделить права на установку принтера от прав на установку в целом.
Вы можете использовать такое программное обеспечение, как SuRun или Privilege Manager (Dell / ScriptLogic), чтобы работать как sudo в * nix - вы можете указать определенные программы, которые могут быть повышены до уровня администратора, или вы можете редактировать ACL для пользователей и т. Д. Вы также можете использовать скрипты в чем-то вроде AutoIT для встраивания учетных данных администратора для запуска программ, не делясь ими с конечным пользователем (при компиляции в exe).
Изменение разрешений - это всего лишь часть ACL, вы даете их группе безопасности «Полный контроль» над этими папками / файлами, и они могут редактировать разрешения, но они могут даже удалить свои собственные разрешения для изменения настроек.