Nós configuramos o controle de acesso baseado em função para várias tarefas.
Para a equipe que precisa provisionar contas / grupos / contatos, criamos um grupo separado. Esse grupo recebe permissões no topo do domínio para:
- Criar / excluir objetos de usuário
- Criar / excluir objetos de grupo
- Criar / Excluir objetos de contato
E, em seguida, uma ACE para cada tipo de objeto (Usuário / Grupo / Contato) na parte superior do domínio que concede controle total para esses tipos de objeto.
Da mesma forma, para equipes que precisam ingressar em computadores, um grupo separado que fornece acesso a:
- Criar / excluir objetos de computador
Concedendo controle total para objetos de computador pode não ser desejável, isso seria algo que você precisaria avaliar. Observe também que alguns controles / processos separados para computadores de pré-teste são recomendados. No mínimo, a OU de Controladores de Domínio deve remover a herança de permissões, o que impediria que essas permissões de grupo herdadas modifiquem os controladores de domínio.
Fazemos algo semelhante para permissões que podem ser necessárias para administradores corporativos. Especificamente, isso inclui a capacidade de adicionar / modificar / excluir sites ou administração de DHCP.
Esse é basicamente o padrão que você seguiria. Identifique o acesso necessário, teste-o em um ambiente de não produção e implemente os controles de acesso na produção.
Pode não ser óbvio / vale a pena mencionar que não usamos os grupos integrados do Windows, como "Administradores de domínio" para conceder acesso . Quando você segue o caminho da criação de seus próprios grupos de controle de acesso baseados em função, não é necessário incluir administradores de domínio ou administradores de empresa.