限制 Windows OU 管理的能力
我們的組織最近對安全措施進行了更改,我有一個要求,想知道它是否可以實施。
因此,我們的團隊(比如說 Jim、Tim、Johnny、Sonny 和 Mary)正在為客戶(1、2、3、4、5、6、7)管理域。我們現在的做法是在該 OU 下創建使用者並創建安全組,並通過安全組授予使用者訪問相應客戶環境的權限。像這樣的東西
隨著更多客戶的加入 (8,9,10),我們將創建此類安全組並添加所需的使用者。我想要實現的是只有 Jim 和 Tim 可以管理 Cust 3 和 Cust 4 安全組 (SG),以便在這些 SG 中添加刪除使用者,同時保留修改 Cust 1、2、5、6、7 和創建/modifying Cust 8,9,10 SGs 等等。他們就像超級管理員(不知道這是否是 Windows AD 中的一個術語)。現在 Johnny、Sonny 和 Mary 將保留修改 Cust 1、2、5、6、7 的能力,並在需要時添加 Cust 8、9、10,但他們絕對無權修改 Cust 3 和 4。他們可能擁有最大的閱讀/查看權限。
我們創建 SG 通常遵循的命名約定是
$$ Cloud $$-$$ Customer $$-$$ Access $$. 是否可以通過創建某種角色或 GPO 來執行正則表達式模式搜尋並限制所述資源來實現這一點。 目前我們所有人都是域管理員。我可能必須再創建一個容器,並將 Johnny、Sonny 和 Mary 作為其中的一部分,而 Jim 和 Tim 則被列為域管理員。Idk,只是想大聲思考。
是否可以通過創建某種執行正則表達式模式搜尋的角色或 GPO 來實現這一點…
簡短的回答:沒有。由於所有對象資源都由它們的 (GU)ID 管理,而不是(可能會改變和國際上不同的)字元串,因此正則表達式沒有任何意義。
不知道這是否是 Windows AD 中的一個術語
同樣簡短的回答:不。不需要這樣的東西,因為 Windows 幾乎所有東西都有 ACL。這確實不會禁止您隨意呼叫您的群組。
記得我有一個客戶網站,它有“admins”、“admin_admins”、“super_admins”、“universal_admins”和“universal_admin_admins”。美好的時光。
可能的解決方案可能是將不同的組放置在不同的 OU 中,並附加上述 ACL,或者只是使用 powershell 創建/管理這些組(可以執行正則表達式和其他一些有用的東西)。