Como eu gerencio o Windows como Linux / Unix: direitos administrativos por associação ao grupo sem acidentes e sem compartilhar a senha do Administrador?

Navegue suas respostas
8

Estou fazendo algumas alterações fundamentais em um ambiente Windows Server 2003/2008. No lado do Unix, minhas restrições de segurança são simples:

  1. Os usuários que devem ter direitos de administrador estão em um grupo especial ("roda" ou similar).
  2. Quando esses usuários fazem logon nessas máquinas, eles ainda não têm direitos de administrador, até que executem explicitamente um comando com esses direitos de administrador ("comando sudo" ou "su").
  3. Mesmo quando eles executam o comando com "su" (como "runas"), eles ainda precisam digitar uma senha: os próprios.

Neste sistema, posso controlar quem tem privilégios de administrador (por associação ao grupo), impedi-los de executar acidentalmente algo com privilégios de administrador por acidente (exigindo "su" ou "sudo") e nunca revelar um "Administrador principal". "(ou seja," root ") senha, uma vez que eles são solicitados por conta própria.

Como faço o equivalente no Windows Server? As opções como eu vejo são:

  1. Adicione o usuário à conta de administradores locais: Mas, em seguida, tudo eles são como admin, arriscando o erro.
  2. Exija que eles façam "Administrador runas": Mas eles precisam saber a senha do Administrador, que eu não quero compartilhar por aí.

Existe alguma solução em que eu possa simultaneamente: controlar quem tem acesso por associação de grupo; impedir que eles acidentalmente danifiquem as coisas, exigindo uma senha separada; impedi-los de conhecer a senha do administrador?

    
por deitch 15.05.2014 / 16:10

3 respostas

8
Em primeiro lugar, somente os administradores devem obter acesso de administrador, a menos que haja uma enorme (não posso pensar em um bom motivo) que eles precisam, então deve ser deixado para os administradores; há raras ocasiões em que um usuário comum recebe privilégios de administrador e, mesmo assim, sou cético sobre o motivo de precisar dele.

Em segundo lugar, você pode realizar o que deseja usando associação de grupo no Windows. Você não disse que estava usando o Active Directory, por isso não tenho certeza se tem um domínio e está fazendo isso, mas pode criar grupos de segurança e adicionar contas de usuários individuais a eles. Veja aqui. Eu não adicionaria usuários ao grupo de administradores locais no servidor individualmente, pois isso seria confuso e É difícil manter o controle, e isso causará muita dor de cabeça para você e possíveis problemas de segurança. O que eu faria, como mencionado acima, é criar um grupo de segurança e adicionar os membros que você deseja que tenham acesso de administrador a esse grupo. Você criaria duas contas de usuário para seus usuários; um para login regular e, em seguida, uma segunda conta que foi usada apenas para ações elevadas. Você adicionaria a conta "maior / privilegiada" aos usuários no Grupo de segurança e, em seguida, você pode colocar esse grupo em uma associação de grupo local elevada no servidor real, como Usuários avançados, por exemplo. Isso permitirá que eles executem muitas funções sem serem administradores. Às vezes, o grupo precisará de acesso de administrador local e, nesse ponto, você pode colocar o grupo nesse grupo de administradores local no servidor.

Tanto quanto o Administrador Executar como, você não precisa fazer isso o tempo todo. A melhor maneira de fazer com que as pessoas executem as coisas sem conhecer a senha do Administrador ou de qualquer administrador é usar Shift + clique com o botão direito do mouse e selecione Executar como usuário diferente ou clique com o botão direito e Executar como administrador. Primeiro, você deseja criar um usuário separado para ele que tenha direitos mais altos ou direitos elevados, conforme mencionado acima (esse usuário elevado seria adicionado ao Grupo de segurança novamente, conforme mencionado acima), pois esse usuário poderia ser usado para executar exigem elevação durante todo o tempo sendo logado com uma conta de usuário normal / padrão. Veja minha captura de tela:

Isso deve cuidar do que você está querendo fazer na medida em que executa as coisas como administrador. Uma nota final que devo acrescentar é manter o UAC ativado. Se você fizer isso, os usuários deverão digitar sua senha (elevada) e não uma senha de administrador para as coisas que eles fazem no servidor. É uma dor quando você tem que digitar muito, mas por segurança vale a pena.

    
por 15.05.2014 / 16:28
5

Deixe sua conta padrão como "padrão". Crie-os uma segunda conta privilegiada e adicione-a aos vários grupos administrativos. Use 'runas' com a conta privilegiada. (Você pode achar útil desativar os logons interativos com a conta admin, mas, novamente - isso provavelmente será irritante).

    
por 15.05.2014 / 16:23
4

No Server 2003, você precisaria usar a opção Run As... para ser executada como uma conta com privilégios administrativos.

Com o Server 2008+, você usa o UAC e / ou a opção Run as Administrator sugerida. Isso não requer o conhecimento da senha para a conta local [local] - qualquer credencial administrativa serve.

Assim, você adicionaria as contas deles aos grupos administrativos locais ou, melhor, do ponto de vista da segurança, criaria contas administrativas separadas e as adicionaria aos grupos administrativos locais. Então, quando eles precisarem executar algo com privilégios administrativos, o UAC solicitará credenciais administrativas e / ou usará a opção Run As... / Run as Administrator .

    
por 15.05.2014 / 16:28

Tags

Faça com que o servidor Apache aceite apenas pedidos para domínio em vez de IP Por que os servidores possuem SAS em vez de SSDs? [fechadas]