Вопросик. Есть контора с 100500 серверами в домене. На каждом

прописаны свои админы под задачу. Есть группа универсалов у которых админ на все 100500 серверов. Иногда нужен доступ на одну группу серверов, иногда на другую. Как ограничить так, чтобы эти универсалы не убили махом все 100500 серверов?
1. Изоляция на уровне сети - сложно, дорого...
2. Выдавать права только по запросу на определенные сервера. Нужен отдельный человек. Может есть какой автомат? С троттлингом
3....

Если правильно понял задачу: можно завести отдельную группу админов для каждого сервера и добавлять в нее временных мемберов через механизм https://winitpro.ru/index.php/2016/10/19/vremennoe-chlenstvo-v-gruppax-active-directory/

О..а с группой на каждый сервер это о личная идея, спасибо...

РАМ такое должен уметь

погугли RBAC

Ты можешь конкретную ссылку дать? Что такое rbac я знаю, только это не помогает

Смотрел, не умеют из тех что попадались. Буду признателен если покажете, какой такое умеет

Смотри. Для Каждого сервера создаёшь группу в AD Rights.ServerSql01 Righst.ServerSql02 Rights.ServerForPornSee.Admins и т.д.

Эти доменные группы пихаешь - в локальные группы "Администраторы" на серверах соответственно

Далее, Через GPO или скриптом убираешь все пользовательские учётки из группы администраторы. И Вкорячиваешь LAPS что бы неповадно было

JIexa
На выхлопе должно выглядеть как то так

Вот тут и проблема. Этих sql 10 штук, а админку нужен 1-3 в момент времени...

https://winitpro.ru/index.php/2015/05/07/ms-local-administrator-password-solution-upravlenie-parolyami-lokalnyx-administratorov-v-domene/?ysclid=lvftr660on465793017

Laps не помогает, т.к. иногда нужно два сервера, базу перетащить например. Кластер собрать...