質問
うちの会社では、ローカルのAdministratorsにInteractive入れてますね。
これがよいのかどうかはわからないけど、今のところそれでうまくいってます。
コメント(1)と同じくローカルのAdministratorsのグループを活用しています。
セキュリティの度合いに合わせて、このグループに下記ユーザーを追加します。
・DomainUsers … ドメインアカウントユーザーであればだれでも何でもできる。
・(PC所持者のドメインアカウント) … PC所持者のみ 何でもできる
・(管理用アカウント) … 情シスなどPC管理者が利用するアカウント。PC管理者のみ何でもできる。ユーザーはインストールごとに都度申請して インストール時などPCの利用ができなくなる。
といったところでしょうか。
ちなみにユーザーにDomain Admins権限を付けるのはものすごく危険です。
ドメインに参加するすべてのPCやサーバに対してのすべての権限が与えられます。
ウチではパソコンのインストール、セッチングが自分でやらせていますので、みんな管理者権限での運用です。
(まぁそのパソコンがどうなろうと、それは個人の責任でしょというわけで...)
サーバは管理用のアカウントとユーザのアカウントは別にしてます。情シス員が自分のアカウントで入っても一般人と同じことしかやれません。サーバの設定やフォルダを作る・アクセス権をつける等は管理者用のアカウントでしか出来ません。
質問
私の会社ではユーザに管理者権限は与えず、業務上ソフトをインストールする必要などが出てきた場合、ADでDomain Adminsの権限を一時的につけて対応しています。
皆様の会社ではユーザの管理者権限をどのように対応していますでしょうか?