Estou fazendo algumas alterações fundamentais em um ambiente Windows Server 2003/2008. No lado Unix, minhas restrições de segurança são simples:
- Os usuários que deveriam ter direitos de administrador estão em um grupo especial ("roda" ou similar).
- Quando esses usuários fazem login nessas máquinas, eles ainda não têm direitos de administrador, até que executem explicitamente um comando com esses direitos de administrador ("comando sudo" ou "su").
- Mesmo quando executam o comando com “su” (uma espécie de “runas”), eles ainda precisam digitar uma senha: a sua própria.
Neste sistema, posso controlar quem tem privilégios de administrador (por associação ao grupo), evitar que eles executem acidentalmente algo com privilégios de administrador por acidente (exigindo "su" ou "sudo") e nunca revelar um "Administrador" principal (ou seja, "root"), pois é solicitada a sua própria senha.
Como faço o equivalente no Windows Server? As opções a meu ver são:
- Adicionar usuário à conta de administradores locais: Mas entãotudoo que eles fazem é como administrador, arriscando erro.
- Exija que eles façam "runas Administrador": Mas então eles precisam saber a senha do Administrador, que não quero compartilhar.
Existe alguma solução onde eu possa simultaneamente: controlar quem tem acesso por associação ao grupo; evite que eles façam coisas prejudiciais acidentalmente, exigindo uma senha separada; impedi-los de saber a senha do administrador?
Responder1
Em primeiro lugar, apenas os administradores devem obter acesso de administrador, portanto, a menos que haja um motivo ENORME (não consigo pensar em um bom motivo) para que eles precisem dele, isso deve ser deixado para os administradores; há raras ocasiões em que um usuário comum obtém privilégios de administrador e, mesmo assim, geralmente fico cético sobre por que eles precisam disso.
Em segundo lugar, você pode realizar o que deseja usando a associação a grupos no Windows. Você não disse que estava usando o Active Directory, então não tenho certeza se você tem um domínio e está fazendo isso, mas você pode criar grupos de segurança e adicionar contas de usuários individuais a eles. Veja aqui. Eu não adicionaria usuários ao grupo de administradores locais no servidor individualmente, pois isso ficará confuso e será difícil de controlar no futuro, além de causar muita dor de cabeça para você e possíveis problemas de segurança. O que eu faria, conforme mencionado acima, é criar um Grupo de Segurança e adicionar os membros que você deseja que tenham acesso de administrador a este grupo. Você criaria duas contas de usuário para seus usuários; uma para login regular e, em seguida, uma segunda conta que foi usada apenas para ações elevadas. Você adicionaria a conta "superior/privilegiada" dos usuários ao grupo de segurança e, em seguida, poderia colocar esse grupo em uma associação de grupo local elevada no servidor real, como usuários avançados, por exemplo. Isso permitirá que eles executem muitas funções sem serem administradores. Às vezes, o grupo precisará de acesso de administrador local e, nesse ponto, você poderá colocar o grupo nesse grupo de administrador local no servidor.
No que diz respeito ao Run As Administrator, você não precisa fazer isso o tempo todo. A melhor maneira de fazer com que as pessoas executem as coisas sem conhecer a senha do administrador ou de qualquer administrador é usar Shift + clique com o botão direito e selecione Executar como usuário diferente ou clique com o botão direito e executar como administrador. Você primeiro desejaria criar um usuário separado para eles que tenha direitos superiores ou direitos elevados conforme mencionado acima (esse usuário elevado seria adicionado ao Grupo de Segurança novamente como mencionado acima), pois então esse usuário poderia ser usado para executar coisas que exigem elevação o tempo todo enquanto estiver conectado com uma conta de usuário normal/padrão. Veja minha captura de tela:
Isso deve cuidar do que você deseja fazer no que diz respeito à execução das coisas como administrador. Uma observação final que devo acrescentar é manter o UAC ativado. Se você fizer isso, os usuários serão solicitados a digitar sua senha (elevada) e não uma senha de administrador para tudo o que fazem no servidor. É chato ter que digitar muito, mas por segurança vale a pena.
Responder2
Deixe a conta padrão como 'padrão'. Crie para eles uma segunda conta privilegiada e adicione-a aos vários grupos administrativos. Use 'runas' com a conta privilegiada. (Você pode achar útil desabilitar logons interativos com a conta de administrador, mas, novamente - isso provavelmente será irritante).
Responder3
No Server 2003, você precisaria usar a Run As...opção de executar como uma conta com privilégios administrativos.
Com o servidor 2008+,você usa UACe/ou a Run as Administratoropção que você sugeriu. Isso não requer saber a senha paraoConta administrativa [local] - qualquer credencial administrativa servirá.
Então você adicionaria suas contas aos grupos administrativos locais, ou melhor, do ponto de vista da segurança, criaria contas administrativas separadas e as adicionaria aos grupos administrativos locais. Então, quando eles precisarem executar algo com privilégios administrativos, o UAC solicitará credenciais administrativas e/ou usará a opção Run As.../ Run as Administrator.