Restringir grupos Sysadmin no Windows Server

Navegue suas respostas
2

Nossos administradores de sistemas lidam com uma infinidade de tarefas em servidores e estações de trabalho. Eu gostaria que eles pudessem administrar todos os servidores e funções (DNS, DHCP, Serviços de Área de Trabalho Remota) com a exceção de alterar a participação em grupos de contas de administrador de domínio e apropriar-se de arquivos e pastas em nosso servidor de arquivos. (Eu não quero que eles elevem suas próprias contas).

Eu tenho procurado torná-los membros do grupo Operadores de Servidor, mas não consigo encontrar informações sobre se isso forneceria privilégios demais. O outro pensamento era torná-los administradores locais dos servidores membros, mas isso permitiria que eles alterassem as permissões em nosso servidor de arquivos. (Eu suponho que eu poderia isentar este grupo deste servidor).

Este é o meu processo até agora:

Para gerenciar estações de trabalho: Torne os membros sysadmins do grupo de administradores locais.

Para gerenciar servidores: Adicione sysadmins aos seguintes grupos de servidores internos: DnsAdmins Leitores de Log de Eventos Operadores de Configuração de Rede Usuários do Monitor de Desempenho Operadores de Impressão Usuários de Área de Trabalho Remota

Em uma nota lateral, os administradores de sistema também seriam membros de um terceiro grupo com acesso delegado para gerenciar contas de usuário e computador e redefinir senhas.

Agradeço quaisquer pensamentos, esclarecimentos ou sugestões.

    
por user3469469 16.07.2018 / 14:50

1 resposta

0

Um objeto de política de grupo aplicado a esse servidor pode fazer o que você precisa. Todas as configurações mencionadas abaixo são encontradas em três, em Configuração do Computador → Políticas → Configurações do Windows → Configurações de Segurança.

  • em Políticas locais → Atribuição de direitos do usuário, você pode editar quem tem o direito de apropriar-se de objetos. Normalmente, é o grupo de administradores, mas você pode criar outro grupo ou usar um grupo do AD para isso.
  • em Grupos restritos, você pode definir quem são os membros do grupo Administradores. Toda vez que o GPO for sincronizado, os membros do grupo serão sobrescritos, independentemente da alteração feita localmente.

Você pode deixar a associação dos Administradores às pessoas que mantêm o servidor e confiar nas restrições impostas pela política de grupo (também é possível impor alguns registros de segurança, por exemplo). Em seguida, dependendo das funções de servidor que você precisa gerenciar, a participação em grupos em um grupo menos poderoso pode ser suficiente, mas nunca verifiquei essa parte.

    
por 16.07.2018 / 15:47

Tags

Como identificar em qual processo o tráfego TCP recebido pertence ao DTrace no macOS chkdsk - ok para rodar em um Softare RAID1 (Intel RST)?