Как реализовать ограниченного администратора в Windows?
Нужно, чтобы администратор не мог выполнять некоторых действий, например, чистить системные логи. В остальном нужно, чтобы его права были полными. Возможно ли это как-то реализовать на Windows 2008?
В общем случае это невозможно. Доменный администратор может вернуть себе любые права.
Выход — пересматривать политику безопасности, выдавать административные полномочия минимальному числу людей.
Логи форвардить на выделенные сервера, доступ к которым регулировать отдельно и т.д.
Начиная с 2008 есть выделенные группы для «чукча-читателей логов» — «Event Log Readers».
Нужно, чтобы администратор не мог выполнять некоторых действий, например, чистить системные логи. В остальном нужно, чтобы его права были полными. Возможно ли это как-то реализовать на Windows 2008?
Если проблема только в том, чтобы сохранять логи, то логи можно писать на удалённый сервер.