Организация требует, чтобы несколько администраторов выполняли роль аудитора безопасности. У них должен быть доступ только для чтения (через сеть / удаленный) к системам Windows Server 2008 / R2 и разрешения на просмотр конфигурации сервера. Они не должны иметь возможность вносить какие-либо другие изменения в сервер или сеть, например перезапускать или изменять конфигурацию.
Однако я не могу найти никаких встроенных настроек для такого пользователя. Ближе всего к группе пользователей "Пользователи" [1], однако, насколько я понимаю каждый пользователь в домене входит в эту группу и не может просматривать конфигурацию сервера домена.
Итак, каковы другие варианты реализации учетной записи пользователя только для чтения в Windows Server 2008?
[1] http://technet.microsoft.com/en-us/library/cc771990.aspx
Нет, это неправдоподобно. Технически возможно пройти и создать учетную запись с правами только для чтения для всего, но это было бы довольно сложно, и, насколько мне известно, в настоящее время нет ничего подобного тому, что существует.
Проблема в том, что по умолчанию большинство параметров «конфигурации», которые вы хотите просмотреть, доступны только администраторам, которые также могут их изменять. Таким образом, чтобы создать пользователя с доступом только для чтения, который может получить доступ ко всему, вы в основном хотите изменить все (файловую систему, реестр, разрешения приложений), чтобы добавить доступ только для чтения для данного пользователя.
Делайте то же самое, что и остальной мир, и пусть аудиторы запрашивают информацию у администраторов, если это необходимо, в то время как аудиторы наблюдают, как администраторы извлекают необходимую информацию.
В дальнейшем ваш одитор должен использовать такую систему, как Varonis, для отслеживания системных изменений. Затем у них есть собственный инструмент для допроса, в который могут войти только они, и он даст им такую информацию.
Изменение разрешений файловой системы, реестра и т. Д. Может привести к проблемам с разрешениями в будущем.
Энтони