我是一名菜鸟,我确信我缺少一些非常基础的东西,但不知道在哪里寻找以及如何开始。 我需要一些有关如何设置具有受限权限的用户访问权限的帮助和指导。 我的最终目标是拥有一个有权访问特定域中所有服务器登录的AD帐户,并有权检查事件查看器日志以及启动和停止服务器上运行的服务。我不想将此帐户添加到Domain Admin或Administrators组。 阅读一些信息后,我尝试创建一个单独的组,并在OU(我们所有服务器所在的位置)上为该组委派了一些权限,并将用户帐户添加到该组中。用户仍然无法登录到该OU中的任何服务器。 我也想使用Powershell自动执行此任务:) 问候
liangtianming 回答:我们可以不拥有域管理员的权限而访问具有特定权限的域中的所有服务器吗?
授予非管理员用户远程登录计算机的权限很容易,只需将AD组添加到本地Remote Desktop Users组即可。这可能是您当前问题的症结所在。
类似地,您不必成为Domain Admin即可加入Local Administrators组。您可以使用组策略来配置另一个AD组并将其添加到Local Administrators组,从而限制Domain Admins的数量并限制该组中用户的能力。注意:将人员添加到Local Administrators组会自动为他们授予远程登录权限,这无需也将他们添加到Remote Desktop Users组中。
要读取事件日志,只需将该组添加到Event Log Readers组即可。
允许非管理员启动停止服务要困难得多,因为您必须手动设置ACL权限才能分别在每个服务上启动停止服务,请参阅:Set permissions to start stop services
最简单的方法是使用SubInACL tool:
使用SubInACL工具设置服务权限
- 下载subinacl.msi并将其安装在目标系统中
-
在提升的命令提示符下,转到包含该工具的目录:
cd "C:\Program Files (x86)\Windows Resource Kits\Tools\" -
运行命令:
subinacl.exe /service MyServiceName /grant=contoso\JSmith=PTO