Linux/Unix와 같은 Windows: 사고 없이 관리자 비밀번호를 공유하지 않고 그룹 구성원별로 관리 권한을 관리하려면 어떻게 해야 합니까?

우선, 관리자만 관리자 액세스 권한을 받아야 합니다. 따라서 관리자에게 필요한 큰 이유가 없는 한(좋은 이유가 생각나지 않는 한) 관리자에게 권한을 맡겨야 합니다. 일반 사용자가 관리자 권한을 얻는 경우는 드물지만, 그럼에도 불구하고 나는 일반적으로 왜 그것이 필요한지에 대해 회의적입니다.

둘째, Windows에서 그룹 구성원 자격을 사용하여 원하는 작업을 수행할 수 있습니다. Active Directory를 사용한다고 말씀하지 않으셨기 때문에 도메인이 있고 그렇게 하고 있는지는 확실하지 않지만 보안 그룹을 생성하고 여기에 개별 사용자 계정을 추가할 수 있습니다. 여기를 보아라. 서버의 로컬 관리자 그룹에 사용자를 개별적으로 추가하지 않을 것입니다. 이렇게 하면 나중에 지저분해지고 추적하기가 어려워지며 많은 골칫거리가 되고 잠재적인 보안 문제가 발생할 수 있기 때문입니다. 위에서 언급한 대로 제가 할 일은 보안 그룹을 만들고 이 그룹에 대한 관리자 액세스 권한을 갖고 싶은 구성원을 추가하는 것입니다. 사용자를 위해 두 개의 사용자 계정을 만듭니다. 하나는 일반 로그인용이고, 그 다음에는 상승된 작업에만 사용된 두 번째 계정입니다. "더 높은/권한이 있는" 사용자 계정을 보안 그룹에 추가한 다음 이 그룹을 예를 들어 Power Users와 같은 실제 서버의 상승된 로컬 그룹 멤버십에 넣을 수 있습니다. 이를 통해 관리자가 아니더라도 많은 기능을 수행할 수 있습니다. 때로는 그룹에 로컬 관리자 액세스가 필요할 수 있으며, 이 시점에서 그룹을 서버의 해당 로컬 관리자 그룹에 넣을 수 있습니다.

관리자 권한으로 실행하는 경우 항상 그렇게 할 필요는 없습니다. 사람들이 관리자나 관리자 암호를 모르고 작업을 실행하도록 하는 가장 좋은 방법은 Shift+마우스 오른쪽 버튼을 누른 다음 다른 사용자로 실행을 선택하거나 마우스 오른쪽 버튼을 누르고 관리자로 실행을 선택하는 것입니다. 먼저 위에서 언급한 대로 더 높은 권한 또는 더 높은 권한을 가진 별도의 사용자를 만들고 싶을 것입니다(이 승격된 사용자는 위에서 언급한 대로 다시 보안 그룹에 추가됩니다). 그러면 이 사용자는 다음 작업을 실행하는 데 사용될 수 있습니다. 일반/표준 사용자 계정으로 로그인하는 동안 항상 권한 상승이 필요합니다. 내 스크린샷을 참조하세요.

관리자 권한으로 작업을 실행하는 한 원하는 작업을 처리해야 합니다. 마지막으로 추가할 사항은 UAC를 계속 켜두라는 것입니다. 이렇게 하면 사용자는 서버에서 수행하는 작업에 대해 관리자 비밀번호가 아닌 (상승된) 비밀번호를 입력해야 합니다. 많은 것을 입력해야 할 때 고통스럽기는 하지만 보안을 위해서는 그만한 가치가 있습니다.

표준 계정을 '표준'으로 둡니다. 권한 있는 두 번째 계정을 생성하고 이를 다양한 관리 그룹에 추가합니다. 권한 있는 계정으로 'runas'를 사용하세요. (관리자 계정을 사용하여 대화형 로그온을 비활성화하는 것이 유용할 수 있지만 다시 말하지만 이는 아마도 짜증스러울 것입니다).

Run As...Server 2003에서는 관리 권한이 있는 계정으로 실행하는 옵션을 사용해야 합니다 .

서버 2008+를 사용하면당신은 UAC를 사용, 및/또는 Run as Administrator제안한 옵션. 비밀번호를 알 필요는 없습니다.그만큼[로컬] 관리 계정 - 모든 관리 자격 증명이 사용됩니다.

따라서 해당 계정을 로컬 관리 그룹에 추가하거나 보안 관점에서 별도의 관리 계정을 만들어 로컬 관리 그룹에 추가하는 것이 더 좋습니다. 그런 다음 관리 권한으로 무언가를 실행해야 할 때 UAC는 관리 자격 증명을 묻는 메시지를 표시하거나 Run As.../ Run as Administrator옵션을 사용합니다.