Название может немного вводить в заблуждение, но меня интересуют лучшие практики делегирования административного доступа для двух различных сценариев:
- предоставление разработчикам локального административного доступа к определенным серверам разработки
Сначала я бы просто добавил учетную запись разработчика AD в локальную группу администраторов, но эта стратегия быстро становится сложной в управлении. Моей второй мыслью было создать группу безопасности, добавить в нее всех разработчиков и назначить эту группу в локальную группу администраторов на нескольких серверах разработки, к которым им нужен доступ. Пожалуйста, укажите на любые проблемы с этой стратегией или на то, есть ли лучший/более простой/более стандартизированный метод.
И второе:
- В настоящее время я единственный, кто имеет привилегии администратора домена. Я планирую запереть конверт с паролями, чтобы компания не оказалась в проигрыше, если меня собьет машина (или произойдет что-то подобное). Однако меня больше всего беспокоит возможность взять отпуск и делегировать управление своему боссу на время моего отсутствия.
решение1
Всегда создавайте группы и назначайте права группам, а не людям. Затем назначайте/удаляйте людей из групп. Это Лучшая практика, которая значительно облегчит вам жизнь в будущем.
По мере роста вашего бизнеса вы можете делегировать управление группой менеджеру с помощью встроенных инструментов в Windows, чтобы менеджер мог добавлять/удалять людей. Вы ограничиваете доступ и снимаете с себя часть работы, которую вам приходится делать.
Вторая часть вашего вопроса на самом деле должна быть вопросом сама по себе, потому что ответы на нее разные. Я создаю дополнительные учетные записи администратора для выбранных людей, которые являются моим резервным копированием (при необходимости). Это не учетная запись для повседневного использования (без электронной почты и т. д.), но у нее есть повышенные права в домене. Если я собираюсь уехать из города или иным образом отсутствовать в офисе в течение длительного периода времени, я могу активировать эти учетные записи администратора и позволить моему резервному копированию заниматься всем этим.
Вы также можете делегировать управление такими правами, как «сброс пароля», менеджеру/руководителю группы, чтобы людям не приходилось обращаться к вам напрямую для этого.
решение2
По первому пункту: я согласен со второй мыслью (я поддерживаю рекомендацию Top_Hat). Создайте группу разработчиков, добавьте в нее учетные записи разработчиков и добавьте эту группу в группу локальных администраторов на соответствующих серверах/рабочих станциях через групповые политики с ограниченным доступом или настройки групповой политики.
Что касается вашего второго пункта: это сложная ситуация. Если вы единственный, у кого есть навыки управления средой, то вам будет сложно брать отпуск, больничные и т. д. Я в такой же ситуации. Вы можете использовать делегирование управления, чтобы предоставить пользователю (или пользователям) ограниченный доступ к AD для таких задач, как сброс паролей, разблокировка учетных записей пользователей и т. д. Объем делегируемого вами управления зависит от вас с точки зрения того, насколько вам комфортно с их набором навыков и пониманием, и сколько им нужно будет сделать, пока вас нет. Вы можете создать группу для этих пользователей и добавить ее в группу локальных администраторов на выбранных серверах/рабочих станциях, если им понадобится административный доступ к этим серверам/рабочим станциям, пока вас нет.
Мне пришлось управлять доступом к каждому компоненту в нашей среде, чтобы предоставить младшему персоналу доступ к ограниченному набору функций и доступу для поддержки меня... не предоставляя им доступ к уровню функций и доступа, которые имел бы администратор домена. Это трудоемкий процесс, и его необходимо документировать. Мне пришлось делегировать управление ограниченной области AD, установить ограничения RDP, предоставить ограниченный доступ к файловой системе на наших серверах, предоставить ограниченный доступ к серверу Exchange, DNS и т. д. и т. п.