Задний план: У нас есть рабочая среда Active Directory, и мы продолжаем переводить в нее все больше машин и серверов. У нас нет прямого доступа к пользовательским объектам, чтобы перемещать их, как вы обычно это делаете. Вместо этого мы можем работать только с группами пользователей и назначать им разрешения и настройки, а для конфигурации пользователей мы должны использовать обработку обратной связи.
Наши серверы, по крайней мере, сейчас, все вместе в одном OU. У нас есть различные групповые политики, прикрепленные к этому OU, которые предоставляют стандартный набор конфигураций. Например, у нас есть один, который содержит только элементы конфигурации компьютера для всего сервера, один, содержащий элементы конфигурации пользователя для всех серверов, один, который предоставляет права локального администратора для сервера, и другие, которые функционируют как переопределение политик, представленных в этих трех и фильтруются по безопасности на соответствующий сервер, для которого необходимо переопределить настройки.
Проблема: У нас есть ряд серверов, к которым нам необходимо предоставить дополнительный доступ для различных групп пользователей, не связанных с традиционным ИТ-персоналом. Например, у нас есть сервер, на котором работает программное обеспечение для обработки образов рабочего стола, и группа пользователей службы поддержки должна иметь доступ администратора и удаленного рабочего стола, а также штатный ИТ-персонал. У нас есть еще один сервер, на котором бухгалтерии нужны права администратора и права удаленного рабочего стола, а также ИТ-персонал. У нас есть еще один сервер, на котором работает некоторое программное обеспечение HVAC, и для оборудования потребуется дополнительный доступ к этому серверу, а также у стороннего поставщика.
Проблема, с которой мы столкнулись, продолжает расширять эти разрешения. Это становится неуправляемым по мере добавления новых серверов и новых групп пользователей, которым требуются разрешения. Переопределение параметров с помощью фильтрации безопасности и приоритета групповой политики неприемлемо, и его трудно устранить. Есть ли лучший способ подойти к этому? Как нам настроить эту среду, чтобы это было возможно?
Основываясь на вашем описании, я бы предложил организовать в два этапа:
Затем создайте объекты групповой политики, соответствующие каждой созданной вами группе учетных записей компьютеров. Эти GPO помещают соответствующие группы пользователей в соответствующие локальные группы (локальный администратор, пользователи удаленного рабочего стола и т. Д.). Затем измените фильтрацию безопасности для каждого из этих GPO, чтобы использовать соответствующую группу учетных записей компьютеров, и назначьте GPO своему подразделению верхнего уровня.
Таким образом, вы по-прежнему можете предоставлять групповые политики, которые влияют на все серверы, или следовать структуре вашего подразделения для таких вещей, как обновления Windows и другие параметры, предоставляя вам детальный контроль над безопасным доступом.
Если вы нанимаете нового ИТ-специалиста: добавьте его в группу ИТ-пользователей, и у них будет доступ к нужному набору серверов. Если производственным объектам необходим доступ к новому серверу: добавьте учетную запись компьютера нового сервера в группу компьютеров под названием «Доступ к серверу помещений», и любой существующий персонал производственных объектов будет иметь доступ, как определено GPO.
Надеюсь, это имело смысл; если это недостаточно ясно, я могу отредактировать.