AD IT Ajudante Permissões

3

Minhas desculpas se isso foi perguntado antes. Se eu soubesse os termos de pesquisa adequados, o Google seria mais eficaz.

Gostaria de adicionar um usuário que possa ingressar computadores no domínio, instalar software e impressoras nos computadores do usuário, talvez até mesmo alterar senhas de usuário.

Existe algo como um papel de helpdesk que pode fazer isso, mas pode ser restrito a ficar fora de servidores e pastas específicas na rede (por exemplo, folha de pagamento)?

Qualquer ajuda apreciada. Obrigado.

    
por Jimmy 28.10.2014 / 16:32

1 resposta

10

Você está procurando Delegação de controle no Active Directory (AD) para conceder acesso ao seu "Ajudante de TI" para executar operações administrativas no AD. Esta funcionalidade é muito flexível, e eu recomendo que você faça algumas leituras e faça alguns cenários de teste para se familiarizar. As etapas específicas para delegar direitos para ingressar computadores em um domínio estão descritas em KB932455 . Você pode delegar muito mais, no entanto.

Para acesso ao computador cliente, você provavelmente está falando sobre a concessão seletiva de associação ao grupo "Administradores" local ao seu "Ajudante de TI". (É necessário que eles estejam no grupo "Administradores" local para poder instalar o software.) A funcionalidade Grupos Restritos da Diretiva de Grupo posso fazer isso. Essa funcionalidade permite "aninhar" um grupo do seu domínio em um grupo local em computadores clientes. Ao implantar uma política de Grupos Restritos em um Objeto de Diretiva de Grupo (GPO) vinculado a uma Unidade Organizacional (UO) onde os computadores clientes estão localizados, você pode fazer com que o grupo "Ajudantes de TI" seja adicionado automaticamente aos grupos "Administradores". os computadores aos quais o GPO se aplica.

Todas as delegações que você realizar sempre devem ser para grupos e não para usuários individuais. Mesmo que você tenha apenas um usuário de "Ajudante de TI" agora, você deve usar grupos para "preparar futuramente" o seu trabalho.

Ambas as funções dependem do seu AD ter um design razoável. Se, por exemplo, todos os seus computadores clientes estiverem em uma única Unidade Organizacional e você quiser restringir os "Ajudantes de TI" a serem "Administradores" de apenas um subconjunto dos computadores clientes, você terá um tempo mais difícil cumprindo esse requisito. requerimento. Se os computadores clientes forem organizados por OU, é mais fácil vincular os GPOs aos que cobrem os computadores de maneira seletiva. O mesmo vale para delegar o controle nas hierarquias de OU.

Você deve ler os princípios de design do AD para saber como você pode fazer com que o seu AD funcione bem para as necessidades da sua delegação:

Algumas das minhas próprias explosões:

por 28.10.2014 / 17:05