我正在對 Windows Server 2003 / 2008 環境進行一些根本性的更改。在 Unix 方面,我的安全限制很簡單:
- 應該擁有管理員權限的使用者屬於特殊群組(“wheel”或類似群組)。
- 當這些使用者登入這些電腦時,他們仍然沒有管理員權限,直到他們使用這些管理員權限明確執行命令(「sudo 命令」或「su」)。
- 即使他們確實使用“su”(有點像“runas”)執行命令,他們仍然需要輸入密碼:他們自己的密碼。
在這個系統中,我可以控制誰擁有管理員權限(透過群組成員身份),防止他們意外地執行具有管理員權限的操作(通過要求“su”或“sudo”),並且永遠不會洩露核心“管理員」(即「root」)密碼,因為他們被要求提供自己的密碼。
如何在 Windows Server 上執行等效操作?我看到的選項是:
- 將使用者新增至本機管理員帳戶:但是然後一切他們作為管理員,冒著犯錯的風險。
- 要求他們執行“runas Administrator”:但是他們必須知道管理員密碼,我不想共享該密碼。
是否有任何解決方案可以同時:透過群組成員身分控制誰有權存取;透過要求單獨的密碼來防止他們意外地做出破壞性的事情;防止他們知道管理者密碼?
答案1
首先,只有管理員應該獲得管理員存取權限,因此除非有一個巨大的(我想不出一個好的)原因他們需要它,否則應該將其留給管理員;普通用戶很少會獲得管理員權限,即使如此,我通常也會懷疑他們為什麼需要它。
其次,您可以透過使用 Windows 中的群組成員身分來完成您想做的事情。您沒有說您正在使用 Active Directory,所以我不確定您是否有網域並且正在這樣做,但您可以建立安全群組並向其中新增個人使用者帳戶。 看這裡。 我不會將用戶單獨添加到伺服器上的本地管理員群組,因為這會變得混亂並且很難跟踪,並且會給您帶來很多麻煩和潛在的安全問題。如上所述,我要做的是建立安全群組並新增您想要對該群組具有管理員存取權限的成員。您將為您的用戶建立兩個用戶帳戶;一個用於常規登錄,然後是第二個帳戶,僅用於提升的操作。您可以將使用者「更高/特權」帳戶新增至安全性群組中,然後,您可以將該群組放入實際伺服器上提升的本機群組成員身分中,例如進階使用者。這將使他們無需成為管理員即可執行許多功能。有時該群組需要本機管理員存取權限,此時您可以將該群組放入伺服器上的本機管理群組中。
就以管理員身份運行而言,您不必一直這樣做。讓人們在不知道管理員或任何管理員密碼的情況下運行任務的最佳方法是使用 Shift+右鍵單擊,然後選擇“以其他使用者身份運行”,或右鍵單擊並以管理員身份運行。您首先要為他們創建一個具有更高權限或如上所述的提升權限的單獨用戶(如上所述,此提升的用戶將再次添加到安全群組中),然後該用戶可用於運行以下內容使用普通/標準用戶帳號登入時始終需要提升。看我的截圖:
就以管理員身份運行而言,這應該可以滿足您想要做的事情。我要補充的最後一點是保持 UAC 開啟。如果您這樣做,用戶將需要輸入他們的(提升的)密碼,而不是他們在伺服器上執行的操作的管理員密碼。當您必須輸入大量內容時,這會很痛苦,但為了安全起見,這是值得的。
答案2
將他們的標準帳戶保留為“標準”。為他們建立一個特權第二個帳戶並將其新增至各個管理群組。將“runas”與特權帳戶一起使用。 (您可能會發現停用管理員帳戶的互動式登入很有用,但話又說回來 - 這可能會變得煩人)。
答案3
在 Server 2003 中,您需要使用該Run As...選項以具有管理權限的帳戶執行。
對於伺服器 2008+,你使用UAC和/或Run as Administrator您建議的選項。這不需要知道密碼這[本機] 管理帳號 - 任何管理憑證都可以。
因此,您可以將他們的帳戶新增至本機管理群組,或者從安全角度來看更好,建立單獨的管理帳戶並將它們新增至本機管理群組。然後,當他們需要以管理權限執行某些內容時,UAC 將提示輸入管理憑證和/或他們會使用Run As.../Run as Administrator選項。