Надайте дозволи лише на читання домену верхнього рівня: Увійдіть до контролера домену верхнього рівня, знайдіть контейнер «Контролери домену» та надайте обліковому запису аудитора «Читання всіх атрибутів» і «Читання», що дозволить їм переглядати інформацію про користувача, комп’ютер та інші об’єкти в домені.

Перейдіть до «Конфігурація комп’ютера» > «Параметри Windows» > «Параметри безпеки» > «Локальні політики» > «Призначення прав користувача». Знайдіть політику «Заборонити локальний вхід» і додайте групу адміністраторів домену. Переконайтеся, що політика не включає контролери домену або певні сервери, до яких ви хочете отримати доступ.

Як розгорнути контролер домену лише для читання

1. Відкрийте інформаційну панель диспетчера серверів і натисніть «Додати ролі та функції».
2. Клацніть перемикач встановлення на основі ролей або функцій і натисніть кнопку Далі.
3. Виберіть потрібний сервер, який потрібно налаштувати як контролер домену лише для читання, і натисніть «Далі».

Як налаштувати дозволи Active Directory

1. Виберіть об’єкт, права доступу якого потрібно змінити.
2. Клацніть на ньому правою кнопкою миші та відкрийте його властивості.
3. Перейдіть на вкладку Безпека.
4. Виберіть дозволи, які ви хочете призначити для різних груп і користувачів.

Адміністратори лише для читання мати доступ до більшості даних на Консолі адміністратора. Як і адміністратори звітів, адміністратори лише для читання не можуть редагувати дані. Єдині налаштування, які адміністратори можуть змінювати лише для читання, це власні сповіщення та налаштування маркерів API.