Et af de vigtigste, men samtidig omhyggelige aspekter i et servermiljø, er at definere, hvem der kan få adgang til serveren, og hvilke privilegier de kan have i systemet siden eventuelle ændringer, der ikke kræves eller godkendes, kan bringe hele organisationens infrastruktur i fare.
Mange af os som it -personale i vores virksomheder har været nødt til at give administratorrettigheder til brugere, der ikke burde være i den gruppe på grund af det faktum, at de skal udføre en form for administrativ opgave, og som normale brugere er det ikke muligt.
Et reelt eksempel, som vi ved, er, at det var nødvendigt at tilføje en bruger fra systemgruppen i landet Bolivia til administratorgruppen, så den kunne oprette brugere til en særlig organisatorisk enhed, som det var nødvendigt at tilføje brugeren til gruppen Administratorer og overraskelsen Det kom, da denne bruger eliminerede noget meget vigtigt produktionsudstyr, hvilket genererede lidt kaos i virksomheden.
At løse disse problemer Windows Server indeholder mulighed for at delegere administration fra bestemte opgaver til bestemte brugere i bestemte OU'er, domæner eller GPO'er.
1. Forstå delegering af administration i Windows Server 2016
For mange kan det lyde kaotisk og farligt at tildele administrative roller til brugere, der måske ikke har erfaring eller viden til at styre elementerne i Windows Server 2016, og som vi godt ved, er det ikke muligt at tilføje en bruger til gruppen Administratorer og begrænse opgaver, da denne gruppe som standard giver al administration over serveren.
Ved at delegere administrationen kan vi angive, at en bruger uden dyb erfaring kan oprette en bruger i en specifik organisationsenhed uden at påvirke resten af systemet, da de kun vil have adgang til, hvor vi bestemmer og ikke til hele træet i Windows Server 2016.
Administrative tilladelser kan gives til en bruger eller en gruppe Den indeholder forskellige brugere, men det vigtigste er, at vi er meget klare om, hvilke tilladelser og hvem vi giver dem. Til denne undersøgelse har vi oprettet en OU kaldet Permissions, og vi har oprettet en gruppe kaldet Solvetic og en bruger kaldet Access (brugeren er blevet inkluderet i Solvetic -gruppen).
Som vi ved, kan enhver bruger ikke oprette forbindelse til domænet med det samme, vi skal godkende denne brugers adgang til domænet, som vi giver brugeren tilladelse til Adgang at oprette forbindelse til domænet.
For at etablere denne tilladelse skal vi Åbn GPO Group Policy Editor, For at gøre dette skal du trykke på knappen nede Windows + R ser ud til at være i stand til at indtaste kommando for at udføre, skriv:
gpedit.mscvil du gå til følgende rute:
- Lokale computerpolitikker
- Udstyrskonfiguration
- Windows -indstillinger
- Sikkerhedsindstillinger
- Lokale direktiver
- Overdragelse af rettigheder
Og der vælger du indstillingen Tillad lokalt login. Med denne vil denne gruppe eller valgte bruger kunne logge lokalt på computeren eller serveren for at kunne udføre bestemte udpegede opgaver.
Her tilføjer vi ganske enkelt gruppen Solvetic, så Access -brugeren kan logge ind.
2. Gennemfør delegering af administration i Windows Server 2016
Når vi har tilføjet brugeren, så han kan logge ind, vil vi begynde delegeringsprocessen til den angivne bruger, i dette tilfælde Access, vil vi give ham tilladelser til organisationsenheden Permissions. For dette vil vi give Højreklik på organisationsenheden Permissions, og vælg indstillingen Delegate Control.
Vi ser, at guiden til delegering af kontrol vises. Vi klikker på Næste.
Dernæst skal vi tilføje den Solvetic -gruppe, vi har oprettet, til dette klikker vi på knappen Tilføj og søger efter gruppen.
Vi klikker på Næste igen, og vi kan se, at der er forskellige opgaver, der kan delegeres til brugeren, f.eks .:
- Opret, rediger eller slet grupper
- Opret, rediger eller slet brugere
- Rediger gruppemedlemskaber
- Administrer gruppepolitikker
I dette tilfælde Vi vælger mulighederne Opret, slet og administrer grupper og Opret, slet og administrer brugerkonti vælge de respektive kasser.
Vi klikker på Næste, og vi kan se, at vi har gennemført den nødvendige konfiguration.
Klik på Afslut for at afslutte guiden.
3. Bekræft delegering af kontrol
Dernæst logger vi på med Access -brugeren i Windows Server 2016.
FORSTØRRE
Når vi har logget ind, vil vi prøve at oprette en bruger i tilladelsesorganisationsenheden for at validere, at vi kan oprette en bruger.
FORSTØRRE
Vi opretter en bruger ved navn Solvetic1. Vi opretter også en gruppe kaldet tests (husk at adgangsbrugeren blev delegeret til at oprette, redigere eller slette brugere og grupper).
Hvis vi forsøger at udføre en opgave, der ikke blev delegeret, f.eks. Tilføjelse af et team eller andre, ser vi, at der vises en meddelelse, der angiver, at vi af sikkerhedsmæssige årsager ikke kan oprette objektet.
4. Kontroller tilladelserne for den oprettede gruppe
Vi kan få adgang til Windows Server 2016 igen med administratorbrugeren, og vi går til Active Directory -brugere og computere, der skal vi gå til menuen Vis og vælge indstillingen Avancerede funktioner. Der højreklikker vi på organisationsenheden Permissions, og vi kan se, at Solvetic -gruppen har særlige tilladelser.
Hvis vi trykker på knappen Avancerede indstillinger, vil vi kunne se de tilladelser, vi har oprettet under delegationsprocessen.
Som vi ser Ved hjælp af delegering af kontrol i Windows Server 2016 kan vi tildele specifikke opgaver uden at bringe sikkerheden og integriteten af serveren og domænet i fare..
Noget vigtigt, vi skal huske på, er, at ved hjælp af delegering af kontrol kan vi kun tildele tilladelser, men ikke begrænse eller ændre tilladelser til bestemte brugere. Lad os bruge dette interessante værktøj i vores organisationer for at undgå at tilføje enhver bruger, der kræver en form for tilladelse til gruppen Administratorer.
Her er en vejledning, der kan have interesse for dig:
Administrer AD i Windows Server 2016
