Delegando permissões do Windows a diferentes grupos de administradores [closed]

1

Temos alguns servidores do Windows. Eles estão executando todos os tipos de serviços, DNS, SQL Server, IIS, Oracle, etc.

Queremos configurar alguns grupos do AD, por exemplo, DBA, WebAdmin e SAPAdmin.

Depois, queremos delegar esses grupos para ter permissões suficientes nesses servidores do Windows. Aqui estão alguns exemplos

  1. O DBA só pode iniciar / interromper serviços no serviço relacionado ao banco de dados Oracle e serviços relacionados ao SQL Server, mas não em outros
  2. O DBA pode iniciar o software relacionado ao Oracle / SQL Server, mas não outros
  3. O DBA pode instalar / desinstalar patches relacionados ao Oracle / SQL Server, mas não outros
  4. O DBA pode tocar nos arquivos do banco de dados ou no registro relacionado, mas não em outros no mesmo servidor (por exemplo, servidor da web)

Requisito semelhante para o WebAdmin e o SAPAdmin. Atualmente, permitimos que todos esses usuários acessem a caixa do servidor e façam seu trabalho, mas, infelizmente, não conseguimos descobrir uma maneira de bloquear completamente todas as permissões. Eu posso definir a ACL para serviços, registro e arquivos para atender parte da minha exigência.

Eu tenho dois problemas agora.

  1. Ainda não consigo descobrir uma maneira de impedir que os usuários executem software não relacionado ou instalem software / patches não relacionados.

  2. Ainda não consigo descobrir uma maneira de impedir que um snapin específico seja executado. Eu posso bloquear um arquivo exe de execução, definindo sua ACL, mas não posso bloquear um snapin particular, definindo a ACL em sua DLL

Se não houver uma maneira de resolver os problemas acima diretamente, fico feliz em aceitar qualquer solução alternativa. A linha inferior é conceder o menor privilégio a cada um dos grupos e evitar que grupos diferentes de pessoas estraguem o software de outras pessoas no servidor compartilhado.

    
por Harvey Kwok 19.10.2011 / 21:10

1 resposta

3

Infelizmente, você ficará bastante preso aos servidores Windows - o design do sistema operacional simplesmente não permitirá que você faça o que precisa para obter o "privilégio mínimo" em muitos casos. Embora você certamente possa configurar diretivas de restrição de software para impedir a execução de aplicativos não autorizados e configurar políticas de grupo para permitir que os usuários iniciem / parem certos serviços , haveria muitos problemas que você encontraria no administrador diário trabalho:

  1. a instalação da maioria dos patches provavelmente exigirá privilégios de "Administrador" e não se estabeleceria com direitos de usuário "normais" mesmo que o usuário tenha acesso "de controle total" ao diretório do programa
  2. devido aos recursos simplistas de gerenciamento de recursos do Windows Server (você não pode limitar a quantidade de memória ou tempo de CPU dado aos processos do usuário) os DBAs ainda seriam capazes de executar ações no servidor que prejudicariam seriamente outros processos em execução
  3. se você fizer com que os usuários do DBA sejam administradores locais, independentemente das ações que você executar para "bloqueá-los", eles poderão contornar qualquer limitação e romper qualquer cadeia por design

Como já foi indicado por bot403, a separação administrativa é melhor feita configurando um servidor dedicado com a menor possibilidade de interferência com serviços não relacionados. A virtualização deve ajudá-lo nisso, embora ao custo de memória e sobrecarga de processamento. Você poderia minimizar a sobrecarga não virtualizando totalmente os hosts, mas usando contêineres que permitiriam um nível suficiente de gerenciamento de recursos e separação administrativa. Dê uma olhada no Parallels Virtuozzo para um exemplo de como isso poderia ser.

    
por 19.10.2011 / 22:32