Название может немного вводить в заблуждение, но меня интересуют передовые методы делегирования административного доступа для двух разных сценариев:
Сначала я бы просто добавил учетную запись разработчика AD в локальную группу администраторов, но этой стратегией быстро становится трудно управлять. Моей второй мыслью было создать группу безопасности, добавить в нее всех разработчиков и назначить эту группу в локальную группу администраторов на нескольких серверах разработки, к которым им нужен доступ. Укажите, пожалуйста, на какие-либо проблемы с этой стратегией или на лучший / простой / стандартизированный метод.
И второе:
Всегда создавайте группы и назначайте права группам, а не людям. Затем назначьте / удалите людей из групп. Это лучшая практика, которая значительно упростит вам жизнь в будущем.
По мере роста вашего бизнеса вы можете делегировать управление группой менеджеру с помощью встроенных в Windows инструментов, позволяющих менеджеру добавлять / удалять людей. Вы ограничиваете доступ и удаляете часть работы, которую вам нужно сделать.
Вторая часть вашего вопроса должна быть вопросом сама по себе, потому что ответы разные. Я создаю дополнительные административные учетные записи для выбранных людей, которые являются моей резервной копией) при необходимости). Это не учетная запись для повседневного использования (без электронной почты и т. Д.), Но у нее есть повышенные права в домене. Если я собираюсь уехать из города или иным образом отсутствовать в офисе на длительный период времени, я могу активировать эти учетные записи администратора и позволить моей резервной копии справиться со всем этим.
Вы также можете делегировать управление правами, такими как «сброс пароля», руководителю / руководителю группы, чтобы людям не приходилось связываться с вами напрямую для этого.
По вашему первому пункту: я согласен с вашей второй мыслью (я поддерживаю рекомендацию Top_Hat). Создайте группу разработчиков, добавьте учетные записи пользователей разработчиков в группу и добавьте эту группу в группу локальных администраторов на соответствующих серверах / рабочих станциях с помощью групп с ограниченным доступом групповой политики или предпочтений групповой политики.
Что касается вашего второго пункта: это сложная ситуация. Если вы единственный, кто умеет управлять окружающей средой, вам будет сложно взять отпуск, больничный и т. Д. Я в той же ситуации. Вы можете использовать делегирование управления, чтобы предоставить пользователю (или пользователям) ограниченный доступ к AD для таких задач, как сброс паролей, разблокировка учетных записей пользователей и т. Д. Насколько большой контроль вы делегируете, зависит от вас с точки зрения того, насколько вам комфортно с их набором навыков. и понимание, и сколько им нужно будет сделать, пока вас нет. Вы можете создать группу для этих пользователей и добавить эту группу в группу локальных администраторов на выбранных серверах / рабочих станциях, если им потребуется административный доступ к этим серверам / рабочим станциям, пока вас нет.
Мне приходилось управлять доступом к каждому компоненту в нашей среде, чтобы предоставить персоналу младшего уровня доступ к ограниченному набору функций и доступ для поддержки меня ... без предоставления им доступа к уровню функций и доступа, которые Домен Админ бы имел. Это трудный процесс, который необходимо задокументировать. Мне пришлось передать управление ограниченной области AD, установить ограничения RDP, предоставить ограниченный доступ к файловой системе на наших серверах, предоставить ограниченный доступ к серверу Exchange, DNS и т. Д. И т. Д.