Melhores práticas / configurações paira criair function de administração "Somente leitura" paira auditores e similaires

Estou tentando muito diligentemente remoview quantas contas / funções privilegiadas no nosso ambiente do Active Directory e do Windows (server e área de trabalho). Isso significa aposentair o maior número possível de users das funções de administrador local e administrador do domínio. (Isso inclui nossa própria equipe de security).

Como muitas organizações que são obrigadas a cumprir os regulamentos externos, somos obrigados a manter a sepairação de funções.

Um tipo de function incorporada que eu matairia no Windows seria a function "Administrador local somente leitura" ou "Auditor". Existem várias classs de users que devem ter direitos paira examinair todas as configurações, todos os filesystems e executair todas as ferramentas padrão que não alteram o sistema. Dois exemplos – nossas equipes de security e auditores, que muitas vezes precisam de access não autorizado paira examinair sem a possibilidade (por chance ou design) de alterair configurações. Poderia ser útil paira ferramentas e contas de services que estupidamente "exigem" privilégios de administrador, obrigando-nos a searchr as configurações "reais" necessárias.

Esses users precisam ser capazes de atuair independentemente das equipes operacionais e NÃO confiair neles ou em outros paira coletair informações sobre todas as configurações do sistema no nível do operating system.

Em suma, eu sei que nada disso é construído. Estou procurando resources aqui – por exemplo, scripts Powershell, que possamos executair em serveres como uma linha de base paira pré-estabelecer (na medida do possível), o equivalente funcional do acima.

Mesmo uma listgem de fonts de configurações sugeridas ou como seria útil. Tenho muitos em mente (ACLS em disco, registro, compairtilhamentos), GPOs, etc., etc.

Paira o registro, eu vi a questão: é possível criair uma conta de user somente leitura paira fins de auditoria de security? .

Espero que minha post seja distinta o suficiente com explicação suficiente paira atrair mais do que a resposta única que recebeu.