ищу некоторые предложения или советы о том, как настроить наших ИТ-администраторов с делегированием и доступом к серверу. Я начал работать в новой организации и увидел, что каждый ИТ-сотрудник является администратором домена. Похоже, это позволило каждому делать то, что им нужно, в домене и на серверах. Я начал процесс попытки организовать всех и дать им доступ к тому, что им действительно нужно. Ищете предложения о том, как вы настроили свою среду? Мы не огромная организация, работающая в одном месте с 10–15 ИТ-сотрудниками одновременно. Вот что я задумал сделать.
1: Создайте 2 новые группы безопасности. 1 для HelpDesk и 1 для операторов сервера. Делегируйте разрешения для службы поддержки на добавление компьютеров, а также на сброс паролей. Операторы серверов будут иметь то же самое, но также добавят группу в качестве администраторов серверов, к которым им необходим доступ. По-прежнему будет 2 администратора домена с полным контролем.
2. Предоставьте обеим этим новым группам доступ ко всем общим ресурсам, чтобы они могли помогать пользователям с удаленными файлами или любыми другими общими задачами.
В будущем я создам группы безопасности администраторов для конкретных приложений, такие как CRMAdmins, ExchangeAdmin и т. Д., Где я могу добавить пользователей, которым действительно необходимо поддерживать и работать на этих серверах.
Меня беспокоит, что, поскольку у всех был полный доступ, я могу отрезать доступ пользователям, пока пытаюсь обезопасить эту вещь. Мы будем благодарны за любые мысли или предложения, если это хороший путь, или любые идеи о том, как вы его изложите. Мы работаем в домене Server 2012. Спасибо.
Настраиваем ролевой контроль доступа для различных задач.
Для команды, которой необходимо предоставить учетные записи / группы / контакты, мы создали отдельную группу. Этой группе назначаются разрешения в верхней части домена для:
И затем ACE для каждого типа объекта (пользователь / группа / контакт) в верхней части домена, который предоставляет полный доступ для этих типов объектов.
Аналогичным образом для команд, которым необходимо объединить компьютеры, отдельная группа, предоставляющая доступ к:
Предоставление полного контроля над компьютерными объектами может быть нежелательным, и вам нужно будет это оценить. Также обратите внимание, что для компьютеров перед подготовкой рекомендуется использовать отдельный контроль / процесс. По крайней мере, подразделение «Контроллеры домена» должно удалить наследование разрешений, что предотвратит изменение этих унаследованных групповых разрешений на контроллеры домена.
Мы делаем что-то подобное для разрешений, которые могут потребоваться для администраторов предприятия. В частности, это будет включать возможность добавления / изменения / удаления сайтов или администрирование DHCP.
По сути, вы следовали этому образцу. Определите, какой доступ им нужен, протестируйте его в непроизводственной среде, а затем внедрите средства контроля доступа в производственной среде.
Это может быть неочевидным / заслуживающим упоминания, что мы не используем встроенные группы Windows, такие как «Администраторы домена» для предоставление доступа. Когда вы идете по пути создания собственных групп управления доступом на основе ролей, вам не нужно включать администраторов домена или администраторов предприятия.