Един от най -важните, но в същото време внимателни аспекти в сървърната среда е да се определи кой има достъп до сървъра и какви привилегии могат да имат в системата от всички промени, които не са необходими или одобрени, могат да изложат на риск цялата инфраструктура на организацията.
Много от нас като ИТ персонал в нашите компании трябваше да предоставят администраторски разрешения на потребители, които не трябва да са в тази група поради факта, че те трябва да изпълняват някакъв вид административна задача и като нормални потребители това не е възможно.
Истински пример, който знаем, е, че е било необходимо да се добави потребител от групата системи в страната в Боливия към групата на администраторите, така че да може да създава потребители в специална организационна единица, за която е необходимо да се добави споменатият потребител към групата на администраторите и изненадата Дойде, когато този потребител елиминира някои много важни производствени съоръжения, които създадоха малък хаос в компанията.
За решаване на тези проблеми Windows Server включва опцията за делегиране на администрация от определени задачи до конкретни потребители в определени подразделения, домейни или GPO.
1. Разберете делегирането на администрация в Windows Server 2016
За мнозина може да звучи хаотично и опасно да се разпределят административни роли на потребители, които може да нямат опит или знания за управление на елементите на Windows Server 2016 и, както добре знаем, не е възможно да се добави потребител към групата на администраторите и ограничаване на задачите, тъй като по подразбиране тази група предоставя цялото управление на сървъра.
Чрез делегиране на администрацията можем да посочим, че потребител без задълбочен опит може да създаде потребител в определена организационна единица, без да засяга останалата част от системата, тъй като те ще имат достъп само до мястото, където ние определяме, а не до цялото дърво на Windows Server 2016.
Административни разрешения могат да бъдат предоставени на потребител или група Той съдържа различни потребители, но най -важното е, че сме много наясно какви разрешения и на кого ги предоставяме. За това проучване създадохме подразделение, наречено Разрешения и създадохме група, наречена Solvetic и потребител, наречен Access (потребителят е включен в групата Solvetic).
Тъй като знаем, че всеки потребител не може да се свърже с домейна веднага, ние трябва да разреши достъпа на този потребител до домейна, за което предоставяме разрешението на потребителя Достъп за да се свържете с домейна.
За да установим това разрешение, трябва отворете редактора на групови правила на GPO, за да направите това, натиснете бутона за задържане Windows + R ще изглежда, че може да въведе команда за изпълнение, въведете:
gpedit.mscще отидете на следния маршрут:
- Местни компютърни политики
- Конфигурация на оборудването
- Настройки на Windows
- Настройки на сигурността
- Местни директиви
- Прехвърляне на права
И там изберете опцията Разрешаване на локално влизане. С това тази група или избран потребител ще могат да влизат локално на компютъра или сървъра, за да могат да изпълняват определени задачи.
Тук просто добавяме групата Solvetic, така че потребителят на Access да може да влезе.
2. Прилагане на делегиране на администриране в Windows Server 2016
След като добавим потребителя, за да може да влезе, ще започнем процеса на делегиране на посочения потребител, в този случай Достъп, ще му предоставим разрешения за организационното звено Разрешения. За това ще дадем Щракнете с десния бутон върху организационната единица Разрешения и изберете опцията Делегиран контрол.
Виждаме, че се показва съветникът за делегиране на контрол. Щракваме върху Напред.
След това трябва да добавим групата Solvetic, която сме създали, за това кликваме върху бутона Добавяне и търсим групата.
Щракваме отново върху „Напред“ и можем да видим, че има различни задачи, които могат да бъдат делегирани на потребителя, като например:
- Създавайте, редактирайте или изтривайте групи
- Създавайте, редактирайте или изтривайте потребители
- Променете членството в група
- Управлявайте груповите правила
В такъв случай Ще изберем опциите Създаване, изтриване и управление на групи и Създаване, изтриване и управление на потребителски акаунти избор на съответните кутии.
Щракваме върху Напред и можем да видим, че сме завършили необходимата конфигурация.
Щракнете върху Готово, за да излезете от съветника.
3. Проверете делегирането на контрол
След това ще влезем с потребителя на Access в Windows Server 2016.
Увеличете
След като сме влезли, ще се опитаме да създадем потребител в организационното звено Разрешения, за да потвърдим, че можем да създадем потребител.
Увеличете
Ще създадем потребител на име Solvetic1. Ще създадем и група, наречена Тестове (не забравяйте, че на потребителя за достъп е делегиран контрол за създаване, редактиране или изтриване на потребители и групи).
Ако се опитаме да изпълним задача, която не е делегирана, например добавяне на екип или друга, ще видим, че се показва съобщение, показващо, че от съображения за сигурност не можем да създадем обекта.
4. Проверете разрешенията на създадената група
Можем да получим достъп до Windows Server 2016 отново с потребител Administrator и отиваме в Потребители и компютри на Active Directory, там трябва да отидем в менюто View и да изберем опцията Advanced Features. Там щракваме с десния бутон върху организационната единица Разрешения и можем да видим, че групата Solvetic има специални разрешения.
Ако натиснем бутона Разширени опции, ще можем да видим разрешенията, които сме създали по време на процеса на делегиране.
Както виждаме Използвайки делегиране на контрол в Windows Server 2016 можем да възлагаме конкретни задачи, без да излагаме на риск сигурността и целостта на сървъра и домейна..
Нещо важно, което трябва да имаме предвид, е, че с делегирането на контрол можем да присвояваме само разрешения, но не и да ограничаваме или променяме разрешенията за конкретни потребители. Нека използваме този интересен инструмент в нашите организации, за да избегнем добавянето на всеки потребител, който се нуждае от някакво разрешение в групата на администраторите.
Ето един урок, който може да ви заинтересува:
Управление на AD в Windows Server 2016