제목이 약간 오해의 소지가 있을 수 있지만 다음 두 가지 시나리오에 대한 관리 액세스 권한을 위임하는 모범 사례에 관심이 있습니다.
- 개발자에게 특정 개발 서버에 대한 로컬 관리 액세스 권한 부여
처음에는 개발자의 AD 계정을 로컬 관리자 그룹에 추가했지만 이 전략은 금방 관리하기 어려워졌습니다. 두 번째 생각은 보안 그룹을 만들고 여기에 모든 개발자를 추가한 다음 액세스해야 하는 몇 가지 개발 서버의 로컬 관리자 그룹 아래에 해당 그룹을 할당하는 것이었습니다. 이 전략에 문제가 있거나 더 나은/더 쉬운/더 표준화된 방법이 있는지 지적해 주세요.
그리고 두 번째:
- 현재 도메인 관리자 권한을 보유한 사람은 나뿐입니다. 제가 차에 치였을 때(또는 그러한 사고가 발생했을 때) 회사가 물에 빠져 죽지 않도록 비밀번호가 적힌 봉투를 잠가둘 계획입니다. 그러나 나의 즉각적인 관심사는 휴가를 내고 부재 기간 동안 상사에게 통제권을 위임할 수 있는 능력입니다.
답변1
항상 그룹을 만들고 사람이 아닌 그룹에 권한을 할당하십시오. 그런 다음 그룹에서 사람을 할당/제거합니다. 이것은 당신의 삶을 훨씬 더 쉽게 만들어 줄 모범 사례입니다.
비즈니스 규모가 성장함에 따라 Windows에 내장된 도구를 통해 그룹 제어권을 관리자에게 위임하여 관리자가 사람을 추가/제거할 수 있도록 할 수 있습니다. 액세스를 제한하고 수행해야 하는 일부 작업을 제거합니다.
질문의 두 번째 부분은 답변이 다르기 때문에 실제로 질문 자체여야 합니다. 필요한 경우 백업 대상으로 선택된 사람들에 대해 보조 관리 계정을 만듭니다. 이는 일상적인 사용 계정(이메일 등 없음)은 아니지만 도메인에서 더 높은 권한을 갖습니다. 장기간 출장 중이거나 사무실에 없을 경우 이러한 관리자 계정을 활성화하고 백업을 통해 작업을 처리할 수 있습니다.
또한 "비밀번호 재설정"과 같은 권한 제어를 관리자/팀장에게 위임할 수 있으므로 사람들이 이를 위해 귀하에게 직접 연락할 필요가 없습니다.
답변2
첫 번째 요점: 나는 당신의 두 번째 생각에 동의합니다(저는 Top_Hat의 추천을 지지합니다). 개발자 그룹을 만들고 개발자 사용자 계정을 그룹에 추가한 다음 그룹 정책 제한 그룹 또는 그룹 정책 기본 설정을 통해 관련 서버/워크스테이션의 로컬 관리자 그룹에 이 그룹을 추가합니다.
두 번째 요점은 까다로운 상황입니다. 당신이 환경을 관리할 수 있는 능력을 가진 유일한 사람이라면 휴가, 병가 등을 갖는 것이 힘들게 됩니다. 저도 같은 상황에 있습니다. 제어 위임을 사용하여 암호 재설정, 사용자 계정 잠금 해제 등과 같은 작업을 위해 사용자에게 AD에 대한 제한된 액세스 권한을 부여할 수 있습니다. 얼마나 많은 제어 권한을 위임할지는 귀하가 해당 기술에 얼마나 익숙한지에 달려 있습니다. 그리고 이해, 그리고 당신이 없는 동안 그들이 해야 할 일이 얼마나 되는지. 귀하가 없는 동안 해당 서버/워크스테이션에 대한 관리 액세스가 필요한 경우 이러한 사용자에 대한 그룹을 만들고 선택한 서버/워크스테이션의 로컬 관리자 그룹에 이 그룹을 추가할 수 있습니다.
나는 우리 환경의 모든 구성 요소에 대한 액세스를 관리하여 하급 직원이 제한된 기능 세트에 액세스하고 나를 백업할 수 있도록 허용해야 했습니다. 도메인이 제공하는 기능 수준 및 액세스에 대한 액세스 권한을 부여하지 않은 채 말이죠. 관리자는 그랬을 것입니다. 이는 힘든 과정이므로 문서화해야 합니다. 제한된 범위의 AD에 제어권을 위임하고, RDP 제한을 설정하고, 서버의 파일 시스템에 대한 제한된 액세스 권한을 부여하고, Exchange 서버, DNS 등에 대한 제한된 액세스 권한을 부여해야 했습니다.