Назад | Перейти на главную страницу

Делегирование разрешений Windows различным группам администраторов

У нас есть несколько серверов Windows. Они запускают всевозможные службы, DNS, SQL Server, IIS, Oracle и т. Д.

Мы хотим настроить несколько групп AD, например DBA, WebAdmin и SAPAdmin.

Затем мы хотим делегировать этим группам достаточное количество разрешений на эти Windows Server. вот несколько примеров

  1. Администратор баз данных может запускать / останавливать службы только для служб, связанных с базами данных Oracle, и служб, связанных с SQL Server, но не для других.
  2. Администратор баз данных может запускать программное обеспечение, связанное с Oracle / SQL Server, но не другое
  3. Администратор баз данных может устанавливать / удалять исправления, связанные с Oracle / SQL Server, но не другие.
  4. Администратор баз данных может касаться файлов базы данных или соответствующего реестра, но не других на том же сервере (например, веб-сервере)

Аналогичное требование для WebAdmin и SAPAdmin. В настоящее время мы разрешаем всем этим пользователям входить в серверный ящик и выполнять свою работу, но, к сожалению, мы не можем найти способ полностью заблокировать все разрешения. Я могу установить ACL для служб, реестра и файлов, чтобы выполнить часть моих требований.

У меня сейчас две проблемы.

  1. Я до сих пор не могу придумать способ запретить пользователям запускать несвязанное программное обеспечение или устанавливать несвязанное программное обеспечение / патчи.

  2. Я до сих пор не могу придумать способ заблокировать выполнение определенного снапина. Я могу заблокировать выполнение exe-файла, установив его ACL, но я не могу заблокировать конкретную оснастку, установив ACL для его DLL

Если нет способа решить вышеуказанные проблемы напрямую, я буду рад принять любое решение. Суть в том, чтобы предоставить наименьшие привилегии каждой из групп и избежать того, чтобы разные группы людей испортили чужое программное обеспечение на общем сервере.

К сожалению, вы будете изрядно застряли с серверами Windows - дизайн операционной системы просто не позволит вам делать то, что вам нужно делать для достижения «минимальных привилегий» во многих случаях. Хотя ты конечно мог настроить политики ограниченного использования программ для предотвращения запуска неавторизованных приложений и настроить групповые политики, чтобы пользователи могли запускать / останавливать определенные службы, в повседневной работе администратора может возникнуть множество проблем:

  1. установка большинства патчей, вероятно, потребует привилегий «Администратора» и не будет соответствовать «обычным» правам пользователя, даже если у пользователя есть «полный контроль» доступа к каталогу программы.
  2. из-за очень упрощенных функций управления ресурсами в Windows Server (вы не можете ограничить объем памяти или процессорного времени, предоставляемого процессам пользователя) администраторы баз данных по-прежнему смогут выполнять действия на сервере, которые серьезно повлияют на другие запущенные процессы
  3. если вы сделаете своих пользователей DBA локальными администраторами, независимо от того, какие действия вы выполняете, чтобы «заблокировать их», они смогут обойти любые ограничения и вырваться из любой тюрьмы по дизайну

Как уже указывалось в bot403, административное разделение лучше всего выполнять путем настройки выделенного сервера с наименьшей вероятностью вмешательства в несвязанные службы. Виртуализация должна помочь вам в этом, хотя и за счет памяти и накладных расходов на обработку. Вы можете минимизировать накладные расходы, не полностью виртуализируя хосты, но используя контейнеры, которые позволят вам обеспечить достаточный уровень управления ресурсами и административного разделения. Взгляни на Parallels Virtuozzo для примера того, как это могло бы выглядеть.