Nos administrateurs système gèrent une multitude de tâches sur les serveurs et les postes de travail. Je voudrais qu'ils soient en mesure d'administrer tous les serveurs et rôles (DNS, DHCP, Services de bureau à distance) à l'exception de la modification de l'appartenance à un groupe des comptes administrateurs de domaine, et de prendre possession des fichiers et dossiers sur notre serveur de fichiers. (Je ne veux pas qu'ils élèvent leurs propres comptes).
J'ai envisagé de les ajouter au groupe des Opérateurs de serveurs, mais je ne semble pas trouver d'informations sur le fait que cela pourrait leur fournir trop de privilèges. L'autre idée était de les ajouter en tant qu'administrateurs locaux des serveurs membres, mais cela leur permettrait de modifier les autorisations sur notre serveur de fichiers. (Je pourrais exempter ce groupe de ce serveur).
Voici ma réflexion jusqu'à présent:
Pour gérer les postes de travail: Ajouter les sysadmins au groupe des administrateurs locaux.
Pour gérer les serveurs: Ajouter les sysadmins aux groupes de serveur intégrés suivants: DnsAdmins Event Log Readers Network Configuration Operators Performance Monitor Users Print Operators Remote Desktop Users
À noter, les sysadmins seraient également membres d'un 3ème groupe avec un accès délégué pour gérer les comptes d'utilisateurs et d'ordinateurs, et réinitialiser les mots de passe.
Je vous remercie pour vos réflexions, clarifications ou suggestions.
