Существует необходимость делигировать права администратора тому или иному специалисту для выполнения действий над компьютером. Так же необходимо сохранить пароли от чужих Так же необходимо не запутаться в обилии этих паролей.
Решение.
Когда коллектив ИТ отдела маленький то все достаточно просто и прозрачно. Всем раздаем Админа, домен-админа и ентерпрайз-админа.
Хотя Enterprise Administrator далеко не всем нужен. Можете спросить своего
Администратора чем Домен-админ отличается от Ентерпрайз-админа. А потом проверить самого себя на наличие этих прав. А они вам нужны?
И это правильно. Но до поры до времени.
Когда ИТ отдел средний, то такой отдел имеет деление и обычно оно следующее:
- программисты
- администраторы
- тех. поддержка aka "Service Desk"
Администраторы имеют полные админские права
Тех поддержка имеют домен-админов во всех доменах.
Вопрос. пароль от логина administrator или admin у кого? Так вот этот пароль должен лежать в сейфе. А все "админы" пользоваться своими собственными учетными записями.
Вопрос. А что делать если компьютер отправляется за тридевять земель и там нет или еще нет сисдамина. Какой пароль ставить? На этот случай по моей практике работал следующий вариант. Создается отдельная локальная учетная запись с правами администратора и учетная запись в пределах домена. С простыми паролями. Этот простой пароль можно разглосить по телефону. При этом и функция выполнится и главный пароль будет жить. Стоит добавить что существует скрипт который меняет пароли на локальные учетные записи удаленно по списку компьютеров. Надеюсь что вы смодете написать такой скрипт.
