Somos uma pequena empresa com 15 usuários que agora está configurando seu primeiro Active Directory (1 máquina com o Windows Server 2016 Essentials). Não tenho certeza de como configurar um ambiente seguro para minha situação em relação à manutenção da estação de trabalho (e também sou muito novo neste tópico).
Eu sou o administrador de TI e também gerente da empresa e tenho um funcionário que me ajuda no suporte aos usuários com suas máquinas locais (vamos chamá-lo de "administrador da estação de trabalho"). Temos complementos complexos do Excel, scripts R específicos do usuário, contas de e-mail não específicas do usuário e assim por diante, em nossas estações de trabalho e às vezes os usuários precisam de suporte de TI para configurá-lo, atualizá-lo, depurar algo etc. Como os perfis são bastante específicos, a maior parte da configuração precisa ser feita dentro do perfil de usuário local.
Para isso, os usuários entregam seus computadores conectados ao administrador da estação de trabalho, que então cuida dos problemas de configuração (os usuários geralmente entram em uma reunião ou tomam um café etc.). No entanto, eu não gostaria que o administrador da estação de trabalho tivesse acesso aos compartilhamentos SMB de usuários confidenciais (contabilidade, gerentes, recursos humanos) durante seu trabalho de manutenção.
No momento (usando um servidor de arquivos do Windows, mas sem um domínio) eu faço o seguinte: Eu tenho um script de logon / logoff implantado nas máquinas, para que os usuários possam sair do servidor de arquivos e reconectar com um usuário menos privilegiado, portanto, apenas compartilhamentos smb "regulares" aparecem. A polícia é que os usuários precisam sair através deste script antes de entregar o PC para outra pessoa. Quando o PC é retornado, os usuários executam o script de login, que solicita as credenciais, para que os compartilhamentos SMB privilegiados retornem. Isso acabou funcionando bem para nós.
Estou procurando uma solução para manter esse tipo de nível de segurança em uma arquitetura de diretório ativo e estou imaginando qual seria a solução de melhor prática (suponho que outras empresas também tenham esse problema). Eu considero várias soluções (servidor de arquivos adicional não-domínio, criptografia dos compartilhamentos, autenticação de múltiplos fatores, etc.), mas não cheguei a uma solução.
Você tem alguma sugestão para esse problema? Obrigado!