Vienas iš svarbiausių, bet tuo pačiu metu kruopščių serverio aplinkos aspektų yra apibrėžti, kas gali pasiekti serverį ir kokias privilegijas jie gali turėti sistemoje. bet kokie nereikalingi ar nepatvirtinti pakeitimai gali kelti pavojų visai organizacijos infrastruktūrai.
Daugelis iš mūsų kaip IT darbuotojai savo įmonėse turėjome suteikti administratoriaus teises vartotojams, kurie neturėtų būti toje grupėje dėl to, kad jiems reikia atlikti tam tikros rūšies administracines užduotis, o kaip įprasti vartotojai to padaryti negali.
Tikras pavyzdys, kurį žinome, yra tas, kad į administratorių grupę reikėjo įtraukti vartotoją iš Bolivijos šalies sistemų grupės, kad jis galėtų sukurti naudotojus prie specialaus organizacinio vieneto, prie kurio reikėjo pridėti naudotoją. administratorių grupė ir netikėtumas Tai įvyko, kai šis vartotojas pašalino labai svarbią gamybos įrangą, kuri sukėlė šiek tiek chaoso įmonėje.
Norėdami išspręsti šias problemas „Windows Server“ yra galimybė perduoti administravimą nuo tam tikrų užduočių iki konkrečių vartotojų tam tikruose OU, domenuose ar GPO.
1. Suprasti administravimo įgaliojimus „Windows Server 2016“
Daugeliui gali atrodyti chaotiška ir pavojinga priskirti administravimo vaidmenis vartotojams, kurie gali neturėti patirties ar žinių valdyti „Windows Server 2016“ elementus, ir, kaip gerai žinome, neįmanoma įtraukti vartotojo į administratorių grupę ir apriboti užduotis, nes pagal numatytuosius nustatymus ši grupė suteikia visą valdymą serveryje.
Deleguodami administravimą galime nurodyti, kad vartotojas, neturintis gilios patirties, gali sukurti vartotoją konkrečiame organizaciniame vienete, nepaveikdamas likusios sistemos dalies, nes jis turės prieigą tik ten, kur mes nustatome, o ne prie viso medžio „Windows Server 2016“.
Administravimo leidimai gali būti suteikti vartotojui arba grupei Jame yra skirtingi vartotojai, tačiau svarbiausia yra tai, kad mes labai aiškiai žinome, kokius leidimus ir kam jiems suteikiame. Šiam tyrimui mes sukūrėme OU pavadinimu „Permissions“ ir sukūrėme grupę „Solvetic“ bei vartotoją „Access“ (vartotojas buvo įtrauktas į „Solvetic“ grupę).
Kaip žinome, bet kuris vartotojas negali iš karto prisijungti prie domeno, privalome suteikti tam vartotojui prieigą prie domeno, kuriam suteikiame leidimą vartotojui Prieiga prisijungti prie domeno.
Norėdami nustatyti šį leidimą, turime atidarykite GPO grupės politikos redaktorių, Norėdami tai padaryti, paspauskite laikymo mygtuką „Windows“ + R pasirodys, kad galėsite įvesti vykdomąją komandą, įveskite:
gpedit.msceisite šiuo maršrutu:
- Vietinio kompiuterio politika
- Įrangos konfigūracija
- „Windows“ nustatymai
- Apsaugos Nustatymai
- Vietos direktyvos
- Teisių perleidimas
Ir ten pasirinkite parinktį Leisti vietinį prisijungimą. Tokiu būdu ši grupė arba pasirinktas vartotojas galės prisijungti prie kompiuterio ar serverio, kad galėtų atlikti tam tikras paskirtas užduotis.
Čia tiesiog pridedame „Solvetic“ grupę, kad „Access“ vartotojas galėtų prisijungti.
2. Įdiekite administravimo delegavimą „Windows Server 2016“
Kai pridėsime naudotoją, kad jis galėtų prisijungti, pradėsime delegavimo procesą nurodytam vartotojui, šiuo atveju „Access“, suteiksime jam leidimus organizaciniam padaliniui. Už tai mes duosime Dešiniuoju pelės mygtuku spustelėkite Permissions organizacinį padalinį ir pasirinkite parinktį Delegate Control.
Matome, kad rodomas valdymo perdavimo vedlys. Spustelėkite „Kitas“.
Toliau turime pridėti mūsų sukurtą „Solvetic“ grupę, norėdami spustelėti mygtuką „Pridėti“ ir ieškodami grupės.
Dar kartą spustelime „Kitas“ ir matome, kad vartotojui galima perduoti įvairias užduotis, pavyzdžiui:
- Kurkite, redaguokite arba ištrinkite grupes
- Kurkite, redaguokite arba ištrinkite vartotojus
- Pakeiskite grupės narystes
- Tvarkykite grupės politiką
Tokiu atveju Mes pasirinksime parinktis Sukurti, ištrinti ir tvarkyti grupes ir Sukurti, ištrinti ir tvarkyti naudotojų paskyras pasirinkdami atitinkamus langelius.
Spustelėkite „Kitas“ ir matome, kad baigėme reikiamą konfigūraciją.
Norėdami išeiti iš vedlio, spustelėkite Baigti.
3. Patikrinkite valdymo delegavimą
Toliau prisijungsime prie „Access“ vartotojo „Windows Server 2016“.
DIDELIS
Kai prisijungsime, bandysime sukurti vartotoją organizaciniame vienete „Leidimai“, kad patvirtintume, jog galime sukurti naudotoją.
DIDELIS
Mes sukursime vartotoją, pavadintą „Solvetic1“. Taip pat sukursime grupę, pavadintą „Tests“ (atminkite, kad prieigos naudotojui buvo suteikta teisė kurti, redaguoti ar ištrinti vartotojus ir grupes).
Jei bandysime atlikti užduotį, kuri nebuvo deleguota, pavyzdžiui, pridėsime komandą ar bet kurią kitą, pamatysime, kad rodomas pranešimas, nurodantis, kad dėl saugumo negalime sukurti objekto.
4. Patikrinkite sukurtos grupės leidimus
Su „Administrator“ vartotoju vėl galime pasiekti „Windows Server 2016“ ir einame į „Active Directory Users and Computers“, ten turime pereiti į meniu Rodinys ir pasirinkti parinktį Išplėstinės funkcijos. Ten dešiniuoju pelės mygtuku spustelėkite leidimų organizacinį padalinį ir matome, kad grupė „Solvetic“ turi specialius leidimus.
Jei paspausime mygtuką Išplėstinės parinktys, galėsime pamatyti leidimus, kuriuos sukūrėme delegavimo proceso metu.
Kaip matome Naudodami valdymo įgaliojimus sistemoje „Windows Server 2016“ galime priskirti konkrečias užduotis, nekeliant pavojaus serverio ir domeno saugumui ir vientisumui..
Turime turėti omenyje svarbų dalyką, kad naudodami valdymo įgaliojimus galime priskirti tik leidimus, bet neriboti ar nekeisti leidimų tam tikriems vartotojams. Naudokime šį įdomų įrankį savo organizacijose, kad prie administratorių grupės nepridėtume vartotojo, kuriam reikia tam tikro leidimo.
Čia yra pamoka, kuri gali jus sudominti:
Tvarkykite AD sistemoje „Windows Server 2016“
