Дизайн групповой политики и делегация

Основываясь на вашем описании, я бы предложил организовать в два этапа:

• Создание групп, содержащих пользователей по ролям и отделам
  • Например: группа для бухгалтерии, производственных помещений, ИТ-персонала
• Создайте группы, содержащие учетные записи компьютеров серверов, для каждого типа доступа, который вы хотите предоставить.
  • Например: доступ ИТ-специалистов к набору серверов, доступ к оборудованию к набору серверов

Затем создайте объекты групповой политики, соответствующие каждой группе учетных записей компьютеров, которую вы создали. Эти GPO помещают соответствующие группы пользователей в соответствующие локальные группы (локальный администратор, пользователи удаленного рабочего стола и т. Д.). Затем измените фильтрацию безопасности для каждого из этих объектов групповой политики, чтобы использовать соответствующую группу учетных записей компьютеров, и назначьте объект групповой политики своему подразделению верхнего уровня.

Таким образом, вы по-прежнему можете предоставить групповые политики, которые влияют на все серверы, или следовать своему подразделению. структура для таких вещей, как обновления Windows и другие настройки, предоставляя вам детальный контроль над безопасным доступом.

Если вы нанимаете нового ИТ-специалиста: добавьте его в группу ИТ-пользователей, и у них будет доступ к нужному набору серверов . Если производственным объектам необходим доступ к новому серверу: добавьте учетную запись компьютера нового сервера в группу компьютеров под названием «Доступ к серверам помещений», и любой существующий персонал производственных мощностей будет иметь доступ, как определено GPO.

Надеюсь, это имело смысл; если это недостаточно ясно, я могу отредактировать.