Der Titel ist möglicherweise etwas irreführend, aber ich interessiere mich für Best Practices zum Delegieren des Administratorzugriffs für zwei verschiedene Szenarien:
- Gewährung des lokalen Administratorzugriffs für Entwickler auf bestimmte Entwicklungsserver
Zunächst würde ich das AD-Konto des Entwicklers einfach zur lokalen Administratorgruppe hinzufügen, aber diese Strategie wird schnell schwierig zu handhaben. Mein zweiter Gedanke war, eine Sicherheitsgruppe zu erstellen, alle Entwickler dazu hinzuzufügen und diese Gruppe der lokalen Administratorgruppe auf den wenigen Entwicklungsservern zuzuweisen, auf die sie Zugriff benötigen. Bitte weisen Sie auf etwaige Probleme mit dieser Strategie hin oder darauf, ob es eine bessere/einfachere/standardisiertere Methode gibt.
Und der zweite:
- derzeit bin ich der einzige, der Domänenadministratorrechte besitzt. Ich habe vor, einen Umschlag mit Passwörtern wegzuschließen, damit die Firma nicht ins Wasser fällt, wenn ich von einem Auto angefahren werde (oder ein ähnlicher Unfall passiert). Meine unmittelbare Sorge ist jedoch, ob ich Urlaub nehmen und die Kontrolle für die Dauer meiner Abwesenheit an meinen Chef delegieren kann.
Antwort1
Erstellen Sie immer Gruppen und weisen Sie den Gruppen Rechte zu, niemals Personen. Weisen Sie dann Personen den Gruppen zu bzw. entfernen Sie sie aus ihnen. Dies ist eine bewährte Methode, die Ihnen das Leben in Zukunft erheblich erleichtern wird.
Wenn Ihr Unternehmen wächst, können Sie die Kontrolle über eine Gruppe mithilfe der in Windows integrierten Tools an einen Manager delegieren, der es dem Manager ermöglicht, Personen hinzuzufügen/zu entfernen. Sie beschränken den Zugriff und nehmen sich einen Teil der Arbeit ab.
Der zweite Teil Ihrer Frage sollte eigentlich eine eigene Frage sein, da die Antworten unterschiedlich sind. Ich erstelle sekundäre Administratorkonten für ausgewählte Personen, die (falls nötig) mein Backup sind. Dies ist kein Konto für den täglichen Gebrauch (keine E-Mail usw.), aber es verfügt über erweiterte Rechte in der Domäne. Wenn ich für längere Zeit nicht in der Stadt oder aus anderen Gründen nicht im Büro bin, kann ich diese Administratorkonten aktivieren und mein Backup die Dinge regeln lassen.
Sie können die Kontrolle über Rechte wie „Passwort zurücksetzen“ auch an Manager/Teamleiter delegieren, sodass die Leute Sie hierfür nicht direkt kontaktieren müssen.
Antwort2
Zu Ihrem ersten Punkt: Ich stimme Ihrem zweiten Gedanken zu (ich unterstütze die Empfehlung von Top_Hat). Erstellen Sie eine Entwicklergruppe, fügen Sie die Entwicklerbenutzerkonten zur Gruppe hinzu und fügen Sie diese Gruppe über die Gruppenrichtlinien-Eingeschränkten Gruppen oder die Gruppenrichtlinieneinstellungen zur Gruppe „Lokale Administratoren“ auf den entsprechenden Servern/Arbeitsstationen hinzu.
Zu Ihrem zweiten Punkt: Das ist eine heikle Situation. Wenn Sie der Einzige sind, der die Fähigkeiten hat, die Umgebung zu verwalten, ist es für Sie schwierig, Urlaub, Krankheitstage usw. zu nehmen. Ich bin in der gleichen Situation. Sie können die Kontrolldelegation verwenden, um einem (oder mehreren) Benutzern eingeschränkten Zugriff auf AD für Aufgaben wie das Zurücksetzen von Kennwörtern, das Entsperren von Benutzerkonten usw. zu gewähren. Wie viel Kontrolle Sie delegieren, hängt davon ab, wie gut Sie mit ihren Fähigkeiten und ihrem Verständnis vertraut sind und wie viel sie während Ihrer Abwesenheit tun müssen. Sie können eine Gruppe für diese Benutzer erstellen und diese Gruppe der Gruppe „Lokale Administratoren“ auf ausgewählten Servern/Arbeitsstationen hinzufügen, wenn sie während Ihrer Abwesenheit administrativen Zugriff auf diese Server/Arbeitsstationen benötigen.
Ich musste den Zugriff auf jede Komponente in unserer Umgebung verwalten, um Mitarbeitern auf Juniorebene Zugriff auf eine begrenzte Anzahl von Funktionen und Zugriffsrechten zu gewähren, damit sie mich unterstützen konnten ... ohne ihnen Zugriff auf die Funktionen und Zugriffsrechte zu gewähren, die ein Domänenadministrator hätte. Das ist ein mühsamer Prozess und muss dokumentiert werden. Ich musste die Kontrolle an einen begrenzten AD-Bereich delegieren, RDP-Einschränkungen festlegen, begrenzten Zugriff auf das Dateisystem auf unseren Servern gewähren, begrenzten Zugriff auf Exchange-Server, DNS usw. usw. gewähren.