Назад | Перейти на главную страницу

Как управлять учетными данными / доступом к нескольким удаленным серверам Windows

У моей компании есть множество удаленных серверов, которыми мы управляем. Все эти серверы являются серверами Windows и разбросаны по разным хостинговым компаниям / дата-центрам. Их цель - веб-хостинг IIS, SQL Server, кэш-серверы, файловые серверы.

В настоящее время у нас есть одна учетная запись пользователя на каждом сервере, которую все сотрудники используют для входа в систему, когда необходимо выполнить управление этим ящиком. (Далеко не безопасный или идеальный)

Я хотел бы, чтобы каждый пользователь имел свои собственные учетные данные и, возможно, имел возможность централизованно управлять этими учетными записями пользователей.

Поскольку эти серверы не находятся в одной сети - как лучше всего с этим справиться?

а) Создать учетную запись для каждого пользователя отдельно на каждом ящике? Это будет означать дублирование учетных записей пользователей в каждом ящике и необходимость вручную отменять доступ отдельно для каждого ящика при необходимости.

б) Использовать Active Directory - все серверы, подключенные удаленно к центральному Active Directory (возможно, установлены на сервере в центре обработки данных для обеспечения высокой доступности)? Каковы последствия этого, когда все Серверы являются удаленными, в разных центрах обработки данных, а не в одной сети?

c) Наткнулся на Azure Active Directory - не уверен, что это сработает?

Вы можете управлять несколькими учетными записями локальных пользователей одновременно через PowerShell с помощью нескольких полезных скриптов.

Вы можете найти вдохновение в двух статьях ниже.

https://mcpmag.com/articles/2015/04/15/reporting-on-local-accounts.aspx?m=1

https://mcpmag.com/articles/2015/05/07/local-user-accounts-with-powershell.aspx?m=1

Как вы, возможно, уже догадались, ваше решение идеально проходит через Active Directory. Ваши серверы должны быть включены в домены, управляемые локальными контроллерами домена Active Directory. Вы можете организовать их в доменах, разделенных для каждого сайта, если ваши сайты изолированы или удалены друг от друга.

Теперь топология рискует усложниться. Вот почему я думаю об интересном решении для вас: Azure Active Directory с обратной записью паролей. Что это значит?

  • Azure Active Directory, вы это уже знаете
  • AAD Connect с обратной записью паролей позволяет синхронизировать идентификационные данные из локального AD в AAD и в то же время позволяет синхронизировать обратно пароль после его изменения в AAD.
  • Наконец, в качестве топологии у вас будут разные соответствующие домены (с AD DC, установленными на ваших разных сайтах); не нужно связывать их друг с другом, им нужно только подключиться к облаку (AAD). Обратите внимание, что вам может потребоваться более одного клиента AAD; но не составит труда создать столько арендаторов и управлять ими. Просто убедитесь, что у компании нет ограничений соответствия, независимо от паролей в облаке.

Надеюсь, он решит ваши проблемы.