Jednym z najważniejszych, ale jednocześnie ostrożnych aspektów w środowisku serwerowym jest określenie, kto może uzyskać dostęp do serwera i jakie uprawnienia mogą mieć w systemie od tego czasu wszelkie zmiany, które nie są wymagane lub zatwierdzone, mogą zagrozić całej infrastrukturze organizacji.
Wielu z nas, jako personel IT w naszych firmach, musiało nadawać uprawnienia administratora użytkownikom, którzy nie powinni należeć do tej grupy, ponieważ muszą wykonać jakiś rodzaj zadań administracyjnych, a jako normalni użytkownicy nie jest to możliwe.
Prawdziwym przykładem, który znamy, jest to, że konieczne było dodanie użytkownika z grupy systemów w kraju Boliwii do grupy administrators, aby mógł tworzyć użytkowników do specjalnej jednostki organizacyjnej, dla której konieczne było dodanie tego użytkownika do grupa Administrators i niespodzianka Doszło do tego, że użytkownik wyeliminował bardzo ważny sprzęt produkcyjny, co wywołało w firmie trochę chaosu.
Aby rozwiązać te problemy Windows Server zawiera opcję delegowania administracji od określonych zadań do określonych użytkowników w określonych jednostkach organizacyjnych, domenach lub obiektach zasad grupy.
1. Zrozum delegowanie administracji w systemie Windows Server 2016
Dla wielu może to brzmieć chaotycznie i niebezpiecznie przypisywanie ról administracyjnych użytkownikom, którzy mogą nie mieć doświadczenia lub wiedzy do zarządzania elementami Windows Server 2016, a jak dobrze wiemy, nie ma możliwości dodania użytkownika do grupy Administratorzy i ogranicz zadania, ponieważ Domyślnie ta grupa zapewnia pełne zarządzanie serwerem.
Delegując administrację możemy wskazać, że użytkownik bez głębokiego doświadczenia może utworzyć użytkownika w określonej jednostce organizacyjnej bez wpływu na resztę systemu, ponieważ będzie miał dostęp tylko do tego, gdzie ustalimy, a nie do całego drzewa Windows Server 2016.
Użytkownikowi lub grupie można nadać uprawnienia administracyjne Zawiera różnych użytkowników, ale najważniejsze jest to, że mamy bardzo jasne, jakie uprawnienia i komu je przyznajemy. Na potrzeby tego badania stworzyliśmy OU o nazwie Permissions i stworzyliśmy grupę o nazwie Solvetic oraz użytkownika o nazwie Access (użytkownik został dołączony do grupy Solvetic).
Ponieważ wiemy, że żaden użytkownik nie może połączyć się z domeną od razu, musimy autoryzuj dostęp tego użytkownika do domeny, na co udzielamy zgody użytkownikowi Dostęp połączyć się z domeną.
Aby ustanowić to uprawnienie, musimy: otwórz edytor zasad grupy GPO, w tym celu naciśnij i przytrzymaj przycisk Okna + r pojawi się możliwość wpisania polecenia do wykonania, wpisz:
gpedit.mscudasz się na następującą trasę:
- Zasady dotyczące komputera lokalnego
- Konfiguracja sprzętu
- Ustawienia systemu Windows
- Ustawienia bezpieczeństwa
- Lokalne dyrektywy
- Cesja praw
I tam wybierz opcję Zezwól na logowanie lokalne. Dzięki temu ta grupa lub wybrany użytkownik będzie mógł zalogować się Lokalnie do komputera lub serwera, aby móc wykonywać określone zadania.
Tutaj po prostu dodajemy grupę Solvetic, aby użytkownik Access mógł się zalogować.
2. Implementuj delegowanie administracji w systemie Windows Server 2016
Po dodaniu użytkownika, aby mógł się zalogować, rozpoczniemy proces delegowania do wskazanego użytkownika, w tym przypadku Access, nadamy mu uprawnienia w jednostce organizacyjnej Uprawnienia. Za to damy Kliknij prawym przyciskiem myszy jednostkę organizacyjną Uprawnienia i wybierz opcję Kontrola pełnomocników.
Widzimy, że wyświetlany jest kreator delegowania kontroli. Klikamy Dalej.
Następnie musimy dodać utworzoną przez nas grupę Solvetic, w tym celu klikamy przycisk Dodaj i szukamy grupy.
Ponownie klikamy Dalej i widzimy, że istnieją różne zadania, które można delegować użytkownikowi, takie jak:
- Twórz, edytuj lub usuwaj grupy
- Twórz, edytuj lub usuwaj użytkowników
- Modyfikuj członkostwo w grupach
- Zarządzaj zasadami grupy
W tym przypadku Wybierzemy opcje Twórz, usuwaj i zarządzaj grupami oraz Twórz, usuwaj i zarządzaj kontami użytkowników wybierając odpowiednie pola.
Klikamy Dalej i widzimy, że zakończyliśmy wymaganą konfigurację.
Kliknij przycisk Zakończ, aby wyjść z kreatora.
3. Zweryfikuj delegację kontroli
Następnie zalogujemy się użytkownikiem Access w systemie Windows Server 2016.
POWIĘKSZAĆ
Po zalogowaniu spróbujemy utworzyć użytkownika w jednostce organizacyjnej Uprawnienia, aby sprawdzić, czy możemy utworzyć użytkownika.
POWIĘKSZAĆ
Stworzymy użytkownika o nazwie Solvetic1. Utworzymy również grupę o nazwie Testy (pamiętaj, że użytkownikowi dostępu delegowano kontrolę do tworzenia, edytowania lub usuwania użytkowników i grup).
Jeśli spróbujemy wykonać zadanie, które nie zostało oddelegowane, na przykład dodanie zespołu lub jakiekolwiek inne, zobaczymy, że wyświetla się komunikat informujący, że ze względów bezpieczeństwa nie możemy stworzyć obiektu.
4. Sprawdź uprawnienia utworzonej grupy
Możemy ponownie uzyskać dostęp do Windows Server 2016 z użytkownikiem Administrator i przechodzimy do Użytkownicy i komputery Active Directory, tam musimy przejść do menu Widok i wybrać opcję Zaawansowane funkcje. Tam klikamy prawym przyciskiem myszy na jednostkę organizacyjną Uprawnienia i widzimy, że grupa Solvetic ma specjalne uprawnienia.
Jeśli naciśniemy przycisk Opcje zaawansowane, będziemy mogli zobaczyć uprawnienia, które stworzyliśmy podczas procesu delegowania.
Jak widzimy Korzystając z delegowania kontroli w systemie Windows Server 2016 możemy przydzielić określone zadania bez narażania bezpieczeństwa i integralności serwera i domeny..
Coś ważnego, o czym musimy pamiętać, to to, że korzystając z delegowania kontroli, możemy tylko przypisywać uprawnienia, ale nie ograniczać ani modyfikować uprawnień poszczególnym użytkownikom. Użyjmy tego interesującego narzędzia w naszych organizacjach, aby uniknąć dodawania użytkownika, który wymaga jakiegoś uprawnienia do grupy Administratorzy.
Oto samouczek, który może Cię zainteresować:
Zarządzaj AD w Windows Server 2016
