Я вношу некоторые фундаментальные изменения в среду Windows Server 2003 / 2008. Со стороны Unix мои ограничения безопасности просты:
- Пользователи, которые должны иметь права администратора, находятся в специальной группе («колесо» или аналогичной).
- Когда эти пользователи входят в систему на этих компьютерах, у них по-прежнему нет прав администратора, пока они явно не выполнят команду с этими правами администратора («команда sudo» или «su»).
- Даже если они выполняют команду с помощью «su» (что-то вроде «runas»), им все равно нужно ввести пароль: свой собственный.
В этой системе я могу контролировать, у кого есть права администратора (по членству в группе), не допускать случайного выполнения ими чего-либо с правами администратора (требуя «su» или «sudo») и никогда не раскрывать основной пароль «Администратора» (т. е. «root»), поскольку у них запрашивается собственный пароль.
Как сделать эквивалент на Windows Server? Варианты, как я вижу, следующие:
- Добавьте пользователя в учетную запись локального администратора: Но затемвсеони делают это как администраторы, рискуя совершить ошибку.
- Потребуйте от них выполнить команду «запустить как Администратор». Но тогда им придется знать пароль администратора, а я не хочу, чтобы кто-то его разглашал.
Есть ли решение, с помощью которого я могу одновременно: контролировать, кто имеет доступ по членству в группе; не допускать случайного совершения вредоносных действий, требуя отдельный пароль; не допускать, чтобы они когда-либо узнали пароль администратора?
решение1
Во-первых, только администраторы должны иметь доступ администратора, поэтому, если только нет ОЧЕНЬ веской причины (я не могу придумать ни одной веской причины), по которой он им нужен, то это следует оставить администраторам; бывают редкие случаи, когда обычные пользователи получают права администратора, и даже в этом случае я обычно скептически отношусь к тому, зачем им это нужно.
Во-вторых, вы можете добиться желаемого, используя Group Membership в Windows. Вы не сказали, что используете Active Directory, поэтому я не уверен, есть ли у вас домен и делаете ли вы это, но вы можете создать Security Groups и добавить в них отдельные учетные записи пользователей. Глянь сюда. Я бы не добавлял пользователей в локальную группу администраторов на сервере по отдельности, так как это будет запутанно и за ними будет трудно следить в дальнейшем, и это доставит вам много головной боли и потенциальных проблем с безопасностью. Что бы я сделал, как упоминалось выше, так это создал группу безопасности и добавил участников, которым вы хотите предоставить доступ администратора к этой группе. Вы бы создали две учетные записи пользователей: одну для обычного входа, а затем вторую учетную запись, которая использовалась бы только для действий с повышенными правами. Вы бы добавили учетную запись пользователя «более высокого/привилегированного» уровня в группу безопасности, затем вы можете поместить эту группу в локальную группу с повышенными правами на самом сервере, например, Power Users. Это позволит им выполнять множество функций, не будучи администраторами. Иногда группе потребуется доступ локального администратора, и в этот момент вы можете поместить группу в эту локальную группу администраторов на сервере.
Что касается Run As Administrator, вам не нужно делать это все время. Лучший способ заставить людей запускать вещи, не зная пароля администратора или любого администратора, — использовать Shift+правый щелчок, а затем выбрать Run as different user, или щелчок правой кнопкой мыши и Run as Administrator. Сначала вам нужно будет создать для них отдельного пользователя с более высокими правами или повышенными правами, как указано выше (этот повышенный пользователь будет снова добавлен в группу безопасности, как указано выше), так как затем этот пользователь может использоваться для запуска вещей, требующих повышения, при этом находясь в системе с обычной/стандартной учетной записью пользователя. Смотрите мой снимок экрана:
Это должно решить, что вы хотите сделать, чтобы управлять всем как администратор. Последнее замечание, которое я могу добавить, это оставить UAC включенным. Если вы сделаете это, пользователям придется вводить свой (повышенный) пароль, а не пароль администратора для всего, что они делают на сервере. Это больно, когда приходится вводить его много, но ради безопасности это того стоит.
решение2
Оставьте их стандартную учетную запись как «стандартную». Создайте им вторую привилегированную учетную запись и добавьте ее в различные административные группы. Используйте «runas» с привилегированной учетной записью. (Возможно, вам будет полезно отключить интерактивные входы с учетной записью администратора, но, опять же, это, вероятно, будет раздражать).
решение3
В Server 2003 вам придется использовать Run As...опцию запуска от имени учетной записи с правами администратора.
С сервером 2008+,вы используете UAC, и/или Run as Administratorпредложенный вами вариант. Для этого не требуется знать парольthe[локальная] административная учетная запись — подойдут любые административные учетные данные.
Поэтому вы бы добавили их учетные записи в локальные административные группы или, что лучше с точки зрения безопасности, создали бы отдельные административные учетные записи и добавили бы их в локальные административные группы. Затем, когда им нужно будет запустить что-то с административными привилегиями, UAC запросит административные учетные данные и/или они бы использовали опцию Run As.../ Run as Administrator.