El título puede ser un poco engañoso, pero me interesan las mejores prácticas para delegar el acceso administrativo en dos escenarios diferentes:
- Dar a los desarrolladores acceso administrativo local a ciertos servidores de desarrollo.
Inicialmente, simplemente agregaría la cuenta AD del desarrollador al grupo de administradores local, pero esta estrategia rápidamente se vuelve difícil de administrar. Mi segundo pensamiento fue crear un grupo de seguridad, agregarle todos los desarrolladores y asignar ese grupo al grupo de Administradores local en los pocos servidores de desarrollo a los que necesitan acceso. Indique cualquier problema con esta estrategia o si existe un método mejor, más fácil o más estandarizado.
Y el segundo:
- Actualmente soy el único que tiene privilegios de administrador de dominio. Estoy pensando en guardar bajo llave un sobre con contraseñas para que la empresa no muera si me atropella un coche (o si ocurre algún accidente similar). Sin embargo, mi preocupación inmediata es mi capacidad para tomarme unas vacaciones y delegar el control en mi jefe mientras dure mi ausencia.
Respuesta1
Cree siempre grupos y asigne derechos a los grupos, nunca a personas. Luego asigne/elimine personas de los grupos. Esta es una práctica recomendada que le hará la vida mucho más fácil en el futuro.
A medida que su negocio crece en tamaño, puede delegar el control de un grupo a un administrador a través de herramientas integradas en Windows para permitir que el administrador agregue o elimine personas. Mantienes el acceso restringido y eliminas parte del trabajo que tienes que hacer.
La segunda parte de su pregunta debería ser una pregunta en sí misma porque las respuestas son diferentes. Creo cuentas administrativas secundarias para personas seleccionadas que son mi respaldo (si es necesario). Esta no es una cuenta de uso diario (sin correo electrónico, etc.) pero tiene derechos elevados en el dominio. Si voy a estar fuera de la ciudad o fuera de la oficina por un período prolongado, puedo activar estas cuentas de administrador y dejar que mi respaldo se encargue de todo.
También puede delegar el control de derechos como "restablecer contraseña" al administrador/líderes del equipo para que las personas no tengan que comunicarse con usted directamente para eso.
Respuesta2
Sobre su primer punto: estoy de acuerdo con su segundo pensamiento (apoyo la recomendación de Top_Hat). Cree un grupo de desarrolladores, agregue las cuentas de usuario de desarrolladores al grupo y agregue este grupo al grupo de Administradores locales en los servidores/estaciones de trabajo relevantes a través de Grupos restringidos de política de grupo o Preferencias de política de grupo.
En cuanto a su segundo punto: esa es una situación complicada. Si eres el único que tiene las habilidades para gestionar el medio ambiente, entonces te resultará difícil tomar vacaciones, días de enfermedad, etc. Yo estoy en la misma situación. Puede utilizar la delegación de control para otorgar a un usuario (o usuarios) acceso limitado a AD para tareas como restablecer contraseñas, desbloquear cuentas de usuario, etc. El control que delegue depende de usted en términos de qué tan cómodo se sienta con su conjunto de habilidades. y comprensión, y cuánto tendrán que hacer mientras usted no esté. Puede crear un grupo para estos usuarios y agregar este grupo al grupo de administradores locales en servidores/estaciones de trabajo seleccionados si necesitarán acceso administrativo a esos servidores/estaciones de trabajo mientras usted no está.
He tenido que administrar el acceso a cada componente de nuestro entorno para permitir que el personal de nivel junior acceda a un conjunto limitado de funciones y acceso para respaldarme... sin darles acceso al nivel de funciones y acceso que un dominio El administrador lo habría hecho. Es un proceso arduo y necesita ser documentado. Tuve que delegar el control a un alcance limitado de AD, establecer restricciones de RDP, otorgar acceso limitado al sistema de archivos en nuestros servidores, otorgar acceso limitado al servidor Exchange, DNS, etc., etc.