O exemplo específico que estou buscando aqui é ter um papel de agente de implantação. Normalmente, isso seria realizado por um funcionário em particular, mas esse funcionário pode ficar doente, demitido, sair de férias, etc. Assim, do ponto de vista de segurança do Windows, isso é simples - crie uma função de implantadores e pronto.
O problema é que várias ferramentas não suportam segurança baseada em funções para acesso, e algumas nem sequer suportam a integração do AD, ou seja, elas exigem um conjunto totalmente personalizado de credenciais.
A maneira mais simples de lidar com isso é ter todos os logotipos de Tom, Dick e Harry, mas isso vence a função de Deployment Officer que estou tentando criar.
Uma abordagem um pouco menos ruim é fazer com que o Deployment Officer transfira o controle para outro funcionário, mas ele enfrenta problemas se esquecer, adoecer ou, especialmente, se for demitido.
Alguma ideia? Eu não consegui chegar a nenhuma bala mágica para isso.
Você considerou controles manuais em vez de automatizados e uma política que apenas diz que não é possível implantar o código que você mesmo escreveu, mas precisa alguém fazer isso? Isso lhe dá isolamento de papéis para cada implantação, mas não globalmente.
Tags permissions security