Назад | Перейти на главную страницу

Как управлять Windows, как Linux / Unix: права администратора по членству в группе без происшествий и без предоставления пароля администратора?

Я вношу некоторые фундаментальные изменения в среду Windows Server 2003/2008. Со стороны Unix мои ограничения безопасности просты:

  1. Пользователи, у которых должны быть права администратора, находятся в специальной группе («колесо» или подобная).
  2. Когда эти пользователи входят на эти машины, у них все еще нет прав администратора, пока они явно не выполнят команду с этими правами администратора («sudo command» или «su»).
  3. Даже когда они выполняют команду с «su» (что-то вроде «runas»), им все равно нужно вводить пароль: свой собственный.

В этой системе я могу контролировать, кто имеет права администратора (по членству в группе), предотвращать их случайное выполнение чего-либо с правами администратора случайно (путем запроса «su» или «sudo») и никогда не раскрывать основного «администратора» (т. Е. "root") пароль, так как они запрашиваются самостоятельно.

Как мне сделать аналог на Windows Server? На мой взгляд, есть следующие варианты:

  1. Добавить пользователя в учетную запись локального администратора: Но тогда все они делают это как администратор, рискуя ошибиться.
  2. Требовать от них выполнения «runas Administrator»: Но тогда они должны знать пароль администратора, которым я не хочу делиться.

Есть ли какое-либо решение, в котором я могу одновременно: контролировать, кто имеет доступ, по членству в группе; предотвратить их случайное нанесение вреда, потребовав отдельный пароль; помешать им узнать пароль администратора?

Во-первых, только администраторы должны иметь доступ администратора, поэтому, если нет ОГРОМНОЙ (я не могу придумать веской) причины, по которой он им нужен, тогда это следует оставить администраторам; Есть редкие случаи, когда обычный пользователь получает права администратора, и даже тогда я обычно скептически отношусь к тому, зачем они им нужны.

Во-вторых, вы можете делать то, что хотите, используя членство в группах в Windows. Вы не сказали, что используете Active Directory, поэтому я не уверен, есть ли у вас домен и вы делаете это, но вы можете создавать группы безопасности и добавлять в них отдельные учетные записи пользователей. Посмотреть здесь. Я бы не стал добавлять пользователей в группу локальных администраторов на сервере по отдельности, так как это станет беспорядочным и трудно будет отслеживать в будущем, и это создаст много головной боли для вас и потенциальных проблем с безопасностью. Как упоминалось выше, я бы сделал, чтобы создать группу безопасности и добавить участников, которым вы хотите иметь доступ администратора к этой группе. Вы бы создали две учетные записи для своих пользователей; один для обычного входа в систему, а затем второй аккаунт, который использовался только для действий с повышенными правами. Вы должны добавить учетную запись пользователя с «более высоким / привилегированным доступом» в группу безопасности, затем вы можете поместить эту группу в локальную группу с повышенными правами на фактическом сервере, например, Power Users. Это позволит им выполнять множество функций, не будучи администраторами. Иногда группе потребуется доступ локального администратора, и на этом этапе вы можете поместить группу в эту локальную группу администраторов на сервере.

Что касается запуска от имени администратора, вам не нужно делать это все время. Лучший способ заставить людей запускать вещи, не зная пароля администратора или какого-либо администратора, - это использовать Shift + щелчок правой кнопкой мыши, а затем выбрать Запуск от имени другого пользователя или щелчок правой кнопкой мыши и запуск от имени администратора. Сначала вам нужно создать для них отдельного пользователя с более высокими правами или повышенными правами, как упомянуто выше (этот пользователь с повышенными правами будет снова добавлен в группу безопасности, как указано выше), так как тогда этого пользователя можно использовать для запуска вещей, которые требовать повышения все время при входе в систему с обычной / стандартной учетной записью. Смотрите мой скриншот:

Это должно позаботиться о том, что вы хотите делать, в том числе о запуске вещей в качестве администратора. И последнее замечание, которое я мог бы добавить, - оставить UAC включенным. Если вы это сделаете, пользователям потребуется вводить свой (повышенный) пароль, а не пароль администратора для того, что они делают на сервере. Больно, когда приходится много вводить, но для безопасности оно того стоит.

Оставьте их стандартный аккаунт как «стандартный». Создайте для них вторую привилегированную учетную запись и добавьте ее в различные административные группы. Используйте runas с привилегированной учетной записью. (Возможно, вам будет полезно отключить интерактивный вход в систему с учетной записью администратора, но опять же - это, вероятно, будет раздражать).

В Server 2003 вам нужно будет использовать Run As... возможность работать как учетная запись с правами администратора.

С Server 2008+, вы используете UAC, и / или Run as Administrator вариант, который вы предложили. Это не требует знания пароля для в [local] административная учетная запись - подойдут любые учетные данные администратора.

Таким образом, вы должны добавить их учетные записи в локальные административные группы или, что лучше, с точки зрения безопасности, создать отдельные административные учетные записи и добавить их в локальные административные группы. Затем, когда им нужно запустить что-то с административными привилегиями, UAC запросит учетные данные администратора и / или они будут использовать Run As.../Run as Administrator вариант.