تعیین سطح دسترسی برای کاربران عضو دامنه

من مطالبی رو در مورد Security Group ها و User ها و سطخ های دسترسی آن ها مطالعه کردم.بیشتر مطالب جنبه تئوری داشتند.در محیط عملیاتی و در یک سازمان به نظر شما چه سطح دسترسی هایی باید تعریف بشود !؟ برای مثال در یک سازمان بزرگ که بخش های مالی ، فناوری اطلاعات و پشتیبانی و ... را دارد .مدیرشبکه Admin و Help Desk و رابطین فناوری اطلاعات در واحدهای مختلف باید چه سطوح دسترسی داشته باشند.

برای مثال مهندس نصیری در مقاله ای نوشته بود : «برای مثال فرض کنید که شما برای مدیران قسمت های مختلف می خواهید دسترسی مدیریتی به سیستم خودشان را بدهید ( هرچند که هیچوقت اینکار را نباید انجام بدهید و این فقط یک مثال است ) . برای اینکار یک Global Group در اکتیودایرکتوری ایجاد میکنیم و نام آنرا Managers یا مدیران قرار میدهیم و تمامی کاربران مدیر را در این گروه قرار میدهیم ، سپس این گروه را در گروه Local Administrators کامپیوترهای خودشان قرار میدهیم و این باعث میشود که این کاربران بر روی سیستم های خودشان دسترسی مدیریتی داشته باشند.»

خوب در سازمان بخش هایی وجود دارند که با دستگاه ها و نرم افزارهایی کار میکنند که باید بتونند IP سیستم خودشون رو تغییر بدهند یا نرم افزار حذف و نصب کنند و ... کاربرانی هم هستند که فقط استفاده کننده هستند و نیاز به تغییرات ندارند.خوب این کاربران باید عضو گروه Domain Users باید باشند.ولی برای کاربرانی که نیاز به تغییرات دارند باید به صورت مثال شما که در بالا به اون اشاره شده باید عمل کرد !؟ لطفاً اگر در مورد این سوال مطلبی در سایت هست یا در منابع مایکروسافت هست معرفی نمایید.