Et av de viktigste, men samtidig forsiktige aspektene i et servermiljø, er å definere hvem som kan få tilgang til serveren og hvilke privilegier de kan ha i systemet siden enhver endring som ikke er nødvendig eller godkjent kan sette hele infrastrukturen i organisasjonen i fare.
Mange av oss som IT -personell i selskapene våre har måttet gi administratorrettigheter til brukere som ikke burde være i den gruppen på grunn av at de trenger å utføre en eller annen administrativ oppgave, og som vanlige brukere er det ikke mulig.
Et reelt eksempel vi vet er at det var nødvendig å legge til en bruker fra systemgruppen i Bolivia i gruppen administratorer slik at den kunne opprette brukere til en spesiell organisasjonsenhet, som det var nødvendig å legge brukeren til Administrators -gruppen og overraskelsen Det kom da denne brukeren fjernet noe veldig viktig produksjonsutstyr, noe som skapte et lite kaos i selskapet.
For å løse disse problemene Windows Server inkluderer muligheten til å delegere administrasjon fra bestemte oppgaver til spesifikke brukere i visse OUer, domener eller GPOer.
1. Forstå delegering av administrasjon i Windows Server 2016
For mange kan det høres kaotisk og farlig ut å tildele administrative roller til brukere som kanskje ikke har erfaring eller kunnskap for å administrere elementene i Windows Server 2016, og som vi godt vet, er det ikke mulig å legge til en bruker i gruppen Administratorer og begrense oppgaver siden Som standard gir denne gruppen all administrasjon over serveren.
Ved å delegere administrasjonen kan vi indikere at en bruker uten dyp erfaring kan opprette en bruker i en bestemt organisasjonsenhet uten å påvirke resten av systemet siden de bare vil ha tilgang til der vi bestemmer og ikke til hele treet i Windows Server 2016.
Administrative tillatelser kan gis til en bruker eller en gruppe Den inneholder forskjellige brukere, men det viktigste er at vi er veldig klare om hvilke tillatelser og hvem vi gir dem. For denne studien har vi opprettet en OU som heter Permissions, og vi har opprettet en gruppe som heter Solvetic og en bruker som heter Access (brukeren har blitt inkludert i Solvetic -gruppen).
Som vi vet, kan ingen bruker koble til domenet umiddelbart, vi må godkjenne brukerens tilgang til domenet, som vi gir brukeren tillatelse til Adgang for å koble til domenet.
For å etablere denne tillatelsen må vi åpne GPO Group Policy editor, For å gjøre dette, trykk inne knappen Windows + R ser ut til å kunne skrive inn kommando for å utføre, skriv:
gpedit.mscdu går til følgende rute:
- Lokale retningslinjer for datamaskiner
- Utstyrskonfigurasjon
- Windows -innstillinger
- Sikkerhetsinnstillinger
- Lokale direktiver
- Tildeling av rettigheter
Og der velger du alternativet Tillat lokal pålogging. Med dette vil denne gruppen eller den valgte brukeren kunne logge på lokalt på datamaskinen eller serveren for å kunne utføre bestemte angitte oppgaver.
Her legger vi ganske enkelt til Solvetic -gruppen slik at Access -brukeren kan logge inn.
2. Implementere delegering av administrasjon i Windows Server 2016
Når vi har lagt til brukeren slik at han kan logge på, skal vi starte delegeringsprosessen til den angitte brukeren, i dette tilfellet Access, skal vi gi ham tillatelser til organisasjonsenheten Permissions. For dette vil vi gi Høyreklikk på organisasjonsenheten Permissions og velg alternativet Delegate Control.
Vi ser at veiviseren for delegering av kontroll vises. Vi klikker Neste.
Deretter må vi legge til Solvetic -gruppen som vi har opprettet, for dette klikker vi på Legg til -knappen og søker etter gruppen.
Vi klikker Neste igjen, og vi kan se at det er forskjellige oppgaver som kan delegeres til brukeren, for eksempel:
- Opprett, rediger eller slett grupper
- Opprett, rediger eller slett brukere
- Endre gruppemedlemskap
- Administrer gruppepolicyer
I dette tilfellet Vi vil velge alternativene Opprett, slett og administrer grupper og Opprett, slett og administrer brukerkontoer velge de respektive boksene.
Vi klikker Neste, og vi kan se at vi har fullført den nødvendige konfigurasjonen.
Klikk Fullfør for å gå ut av veiviseren.
3. Bekreft delegering av kontroll
Deretter logger vi på med Access -brukeren i Windows Server 2016.
FORSTØRRE
Når vi har logget inn, vil vi prøve å opprette en bruker i organisasjonsenheten Permissions for å validere at vi kan opprette en bruker.
FORSTØRRE
Vi vil opprette en bruker som heter Solvetic1. Vi vil også opprette en gruppe som heter Tests (husk at tilgangsbrukeren ble delegert kontroll for å opprette, redigere eller slette brukere og grupper).
Hvis vi prøver å utføre en oppgave som ikke ble delegert, for eksempel å legge til et team eller andre, vil vi se at det vises en melding som indikerer at vi av sikkerhetsmessige årsaker ikke kan opprette objektet.
4. Kontroller tillatelsene til den opprettede gruppen
Vi kan få tilgang til Windows Server 2016 igjen med administratorbrukeren, og vi går til Active Directory -brukere og datamaskiner, der må vi gå til Vis -menyen og velge alternativet Avanserte funksjoner. Der høyreklikker vi på organisasjonsenheten Permissions, og vi kan se at Solvetic -gruppen har spesielle tillatelser.
Hvis vi trykker på knappen Avanserte alternativer, vil vi kunne se tillatelsene vi har opprettet under delegeringsprosessen.
Som vi ser Ved å delegere kontroll i Windows Server 2016 kan vi tildele spesifikke oppgaver uten å sette sikkerheten og integriteten til serveren og domenet i fare..
Noe viktig som vi må huske på er at ved å delegere kontroll kan vi bare tildele tillatelser, men ikke begrense eller endre tillatelser til bestemte brukere. La oss bruke dette interessante verktøyet i organisasjonene våre for å unngå å legge til noen brukere som krever noen form for tillatelse til gruppen Administratorer.
Her er en opplæring som kan være av interesse for deg:
Administrer annonse i Windows Server 2016
