Развертывание программного обеспечения в активном каталоге [закрыто]

Я не уверен, что это подходящее место для публикации этого вопроса, но я подумал, поскольку некоторые пользователи здесь знакомы с серверами Windows и Active Directory, что я мог бы получить некоторую информацию о моей проблеме.

Я разрабатываю приложение для облачного резервного копирования сервера. Программное обеспечение будет развернуто для всех пользователей в Active Directory, и файлы должны быть скопированы в облако под той же учетной записью с использованием одного адреса электронной почты и пароля. Все это очень тривиально и просто.

Моя проблема заключается в том, что определенный пользователь (не являющийся администратором) пытается управлять своими файлами резервных копий. Мне нужно различать этого пользователя в веб-консоли, ему нужно ввести некоторые учетные данные, уникальные для этого пользователя. Это потому, что только администратор должен знать основные учетные данные учетной записи.

Я полагаюсь на реализацию метода, который включает имя учетной записи [username @ domain] в качестве имени дополнительной учетной записи, и приложение будет запрашивать у пользователя пароль, в то время как администратор по-прежнему может получить доступ ко всем данным пользователей, используя основную учетную запись реквизиты для входа.

Я задаю этот вопрос в основном для того, чтобы спросить, каковы лучшие практики для такой системы, поскольку я не эксперт по серверам и не уделял много времени Active Directory и серверам Windows. Меня больше всего беспокоит безопасность основной учетной записи и учетных записей дополнительных пользователей.