it-swarm-ja.com

一時ドメインユーザーがネットワークシステムにアクセスするための制限付きアクセス許可の割り当て

私は自宅に小さなServer2008 R2ドメインネットワークをセットアップしたので、それを管理する方法を学び、練習することができます。

ドメイン内のワークステーションとサーバー上のすべてのファイルへの監査人アクセスを許可する一時的なユーザーアカウントを作成したいが、完全な管理者権限を付与したくないとしましょう。すべてのファイルへの読み取り専用アクセスのみを許可します。

次に、監査人が必要に応じてWMIクエリを実行できるようにします。

どうすればこれを行うことができますか?ユーザーのグループを作成し、そのグループに適用されるGPOを生成しますか?どのプロパティを設定する必要がありますか?

アドバイスありがとうございます!

[〜#〜]編集[〜#〜]

監査人アカウントをバックアップオペレーターに割り当てましたが、管理共有にアクセスできないことがわかりました。 "\ MyPC.testserver.com\c $ \"は管理者アカウントでアクセスできましたが、バックアップオペレータアカウントではアクセスできませんでした。

ここでグループに組み込まれているバックアップオペレーターについて読みました: http://technet.Microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx

それは

このグループのメンバーは、ドメイン内のドメインコントローラー上のすべてのファイルを、それらのファイルに対する独自のアクセス許可に関係なく、バックアップおよび復元できます。バックアップオペレータは、ドメインコントローラにログオンしてシャットダウンすることもできます...

ワークステーションへの読み取り専用アクセスができるように管理者アカウントを変更する方法はありますか?

3
TripleAntigen

私は常に監査人などのために新しいADグループを作成しています。それらの検索、グループへのGPOの適用、有効化/無効化などが簡単になります。

そのグループをADに組み込まれているBackupOperatorグループに追加します。 Backup Operatorsグループのメンバーは、通常はユーザーがアクセスできないファイルやディレクトリを読み取ることができます。このグループのメンバーシップにより、ユーザーは「バックアップ」の目的で任意のファイルを開くことができます。

これにより、管理者でなくても、ADに接続されたマシン上の任意のファイルを読み取ることができます。

1
Keltari