我是一名新秀,我确信我缺少一些非常基本的东西,但不知道从哪里寻找以及如何开始。我需要一些关于如何设置具有受限权限的用户访问的帮助和指导。我的最终目标是拥有一个 AD 帐户,该帐户有权登录特定域中的所有服务器,并有权检查事件查看器日志以及启动和停止服务器上运行的服务。我不想将此帐户添加到域管理员或管理员组。在阅读了一点之后,我尝试创建一个单独的组,并在 OU(我们所有的服务器所在的位置)上为该组委派了一些权限,并将用户帐户添加到该组。用户仍然无法登录到该 OU 中的任何服务器。我还想使用 Powershell 自动执行此任务 :) 问候,
问问题
53 次
1 回答
2
允许非管理员用户远程登录机器很容易,只需将 AD 组添加到本地Remote Desktop Users组即可。这可能是您当前问题的症结所在。
同样,您不必Domain Admin为了加入该Local Administrators组而成为一个。您可以使用组策略配置另一个 AD 组并将其添加到Local Administrators组中,从而限制组中用户的数量Domain Admins和能力。注意:将人员添加到Local Administrators组会自动授予他们远程登录权限,这样就不需要将他们也添加到Remote Desktop Users组中。
为了阅读事件日志,只需将组添加到Event Log Readers组中。
允许非管理员启动停止服务要困难得多,因为您必须手动设置 ACL 权限才能在每个服务上单独启动停止服务请参阅:设置权限以启动停止服务
最简单的方法是使用SubInACL 工具:
使用 SubInACL 工具设置服务权限
- 下载 subinacl.msi 并安装在目标系统中
在提升的命令提示符下,转到包含该工具的目录:
cd "C:\Program Files (x86)\Windows Resource Kits\Tools\"运行命令:
subinacl.exe /service MyServiceName /grant=contoso\JSmith=PTO
于 2019-11-10T05:12:18.053 回答