Sugestões para a delegação de pessoal de TI

4

procurando algumas sugestões ou dicas sobre como configurar nossos administradores de TI com delegação e acesso ao servidor. Comecei em uma nova organização e vi que todo membro da equipe de TI é um administrador de domínio. Parece que isso permitia que todos fizessem o que precisavam fazer no domínio e nos servidores. Eu comecei o processo de tentar organizar todos e dar-lhes acesso ao que eles realmente precisam. Procurando sugestões sobre como você configurou seus ambientes? Não somos uma organização enorme em um único local com 10 a 15 membros da equipe de TI em um determinado momento. Aqui está o que eu pensei em fazer.

1: Crie 2 novos grupos de segurança. 1 para o HelpDesk e 1 para os operadores do servidor. Delegar permissões para Helpdesk para adicionar computadores, bem como redefinir senhas. Os Operadores de Servidor teriam o mesmo, mas também adicionariam o grupo como administradores de servidores aos quais eles precisam ter acesso. Ainda teria 2 administradores de domínio com controle total.

2: Conceda a esses dois novos grupos acesso a todos os compartilhamentos para que eles possam ajudar os usuários com arquivos excluídos ou outras tarefas comuns.

No futuro, criarei grupos de segurança de administrador específicos do aplicativo, como CRMAdmins, ExchangeAdmin etc ..., nos quais posso fornecer os usuários que realmente precisam manter e trabalhar nesses servidores.

Minha preocupação é que, como todos têm acesso total, posso cortar o acesso aos usuários enquanto estou tentando proteger essa situação. Quaisquer pensamentos ou sugestões, se este é um bom caminho ou quaisquer idéias sobre como você colocá-lo fora seria apreciado. Estamos executando no domínio do Servidor 2012. Obrigado.

    
por OJC 17.04.2016 / 21:00

1 resposta

4

Nós configuramos o controle de acesso baseado em função para várias tarefas.

Para a equipe que precisa provisionar contas / grupos / contatos, criamos um grupo separado. Esse grupo recebe permissões no topo do domínio para:

  • Criar / excluir objetos de usuário
  • Criar / excluir objetos de grupo
  • Criar / Excluir objetos de contato

E, em seguida, uma ACE para cada tipo de objeto (Usuário / Grupo / Contato) na parte superior do domínio que concede controle total para esses tipos de objeto.

Da mesma forma, para equipes que precisam ingressar em computadores, um grupo separado que fornece acesso a:

  • Criar / excluir objetos de computador

Concedendo controle total para objetos de computador pode não ser desejável, isso seria algo que você precisaria avaliar. Observe também que alguns controles / processos separados para computadores de pré-teste são recomendados. No mínimo, a OU de Controladores de Domínio deve remover a herança de permissões, o que impediria que essas permissões de grupo herdadas modifiquem os controladores de domínio.

Fazemos algo semelhante para permissões que podem ser necessárias para administradores corporativos. Especificamente, isso inclui a capacidade de adicionar / modificar / excluir sites ou administração de DHCP.

Esse é basicamente o padrão que você seguiria. Identifique o acesso necessário, teste-o em um ambiente de não produção e implemente os controles de acesso na produção.

Pode não ser óbvio / vale a pena mencionar que não usamos os grupos integrados do Windows, como "Administradores de domínio" para conceder acesso . Quando você segue o caminho da criação de seus próprios grupos de controle de acesso baseados em função, não é necessário incluir administradores de domínio ou administradores de empresa.

    
por 17.04.2016 / 23:56