Viens no vissvarīgākajiem, bet tajā pašā laikā rūpīgākajiem aspektiem servera vidē ir noteikt, kas var piekļūt serverim un kādas privilēģijas viņiem var būt sistēmā. jebkuras izmaiņas, kas nav nepieciešamas vai apstiprinātas, var apdraudēt visu organizācijas infrastruktūru.
Daudziem no mums kā IT darbiniekiem savos uzņēmumos ir bijis jāpiešķir administratora atļaujas lietotājiem, kuriem nevajadzētu būt šajā grupā, jo viņiem ir jāveic kāda veida administratīvi uzdevumi, un kā parastajiem lietotājiem tas nav iespējams.
Reāls piemērs, ko mēs zinām, ir tas, ka administratoru grupai bija jāpievieno lietotājs no sistēmas grupas Bolīvijā, lai tā varētu izveidot lietotājus īpašā organizatoriskā vienībā, kurai šis lietotājs bija jāpievieno Administratoru grupa un pārsteigums Tas notika, kad šis lietotājs likvidēja dažas ļoti svarīgas ražošanas iekārtas, kas uzņēmumā radīja nelielu haosu.
Lai atrisinātu šīs problēmas Windows Server ietver iespēju deleģēt administrēšanu no noteiktiem uzdevumiem līdz konkrētiem lietotājiem noteiktos OU, domēnos vai GPO.
1. Izprotiet administrēšanas deleģēšanu sistēmā Windows Server 2016
Daudziem var likties haotiski un bīstami piešķirt administratīvās lomas lietotājiem, kuriem, iespējams, nav pieredzes vai zināšanu, lai pārvaldītu Windows Server 2016 elementus, un, kā mēs labi zinām, lietotāju nav iespējams pievienot administratoru grupai. un ierobežot uzdevumus, jo pēc noklusējuma šī grupa piešķir visu pārvaldību serverī.
Deleģējot administrēšanu, mēs varam norādīt, ka lietotājs bez dziļas pieredzes var izveidot lietotāju noteiktā organizatoriskā vienībā, neietekmējot pārējo sistēmu, jo viņam būs piekļuve tikai mūsu noteiktajai vietai, nevis visam Windows Server 2016.
Administratīvās atļaujas var piešķirt lietotājam vai grupai Tajā ir dažādi lietotāji, taču vissvarīgākais ir tas, ka mums ir ļoti skaidrs, kādas atļaujas un kam tās piešķiram. Šim pētījumam mēs esam izveidojuši OU ar nosaukumu Atļaujas un esam izveidojuši grupu ar nosaukumu Solvetic un lietotāju ar nosaukumu Access (lietotājs ir iekļauts Solvetic grupā).
Tā kā mēs zinām, ka neviens lietotājs nevar nekavējoties izveidot savienojumu ar domēnu, mums tas ir jādara atļaut šī lietotāja piekļuvi domēnam, kurai mēs piešķiram atļauju lietotājam Piekļuve lai izveidotu savienojumu ar domēnu.
Lai izveidotu šo atļauju, mums tas ir jādara atveriet GPO grupas politikas redaktoru, lai to izdarītu, nospiediet turēšanas pogu Windows + R parādīsies iespēja ievadīt izpildāmo komandu, ierakstiet:
gpedit.mscjūs dosieties uz šādu maršrutu:
- Vietējās datora politikas
- Aprīkojuma konfigurācija
- Windows iestatījumi
- Drošības iestatījumi
- Vietējās direktīvas
- Tiesību piešķiršana
Un tur izvēlieties opciju Atļaut vietējo pieteikšanos. Tādējādi šī grupa vai izvēlētais lietotājs varēs lokāli pieteikties datorā vai serverī, lai varētu veikt noteiktus uzdevumus.
Šeit mēs vienkārši pievienojam Solvetic grupu, lai Access lietotājs varētu pieteikties.
2. Īstenojiet administrācijas deleģēšanu sistēmā Windows Server 2016
Kad lietotājs ir pievienots, lai viņš varētu pieteikties, mēs sāksim deleģēšanas procesu norādītajam lietotājam, šajā gadījumā piekļuvei, mēs piešķirsim viņam atļaujas organizatoriskajā vienībā Atļaujas. Par to mēs dosim Ar peles labo pogu noklikšķiniet uz atļauju organizatoriskās vienības un atlasiet opciju Delegāta kontrole.
Mēs redzam, ka tiek parādīts vadības deleģēšanas vednis. Mēs noklikšķiniet uz Tālāk.
Tālāk mums jāpievieno mūsu izveidotā Solvetic grupa, lai to izdarītu, mēs noklikšķinām uz pogas Pievienot un meklējam grupu.
Mēs vēlreiz noklikšķinām uz Tālāk, un mēs redzam, ka lietotājam var deleģēt dažādus uzdevumus, piemēram:
- Izveidojiet, rediģējiet vai dzēsiet grupas
- Izveidojiet, rediģējiet vai dzēsiet lietotājus
- Mainiet dalību grupā
- Pārvaldiet grupas politikas
Šajā gadījumā Mēs atlasīsim opcijas Izveidot, dzēst un pārvaldīt grupas un Izveidot, dzēst un pārvaldīt lietotāju kontus atlasot attiecīgās kastes.
Mēs noklikšķinām uz Tālāk, un mēs redzam, ka esam pabeiguši nepieciešamo konfigurāciju.
Noklikšķiniet uz Pabeigt, lai izietu no vedņa.
3. Pārbaudiet kontroles deleģēšanu
Tālāk mēs pierakstīsimies ar Access lietotāju sistēmā Windows Server 2016.
PALIELINĀT
Kad esam pieteikušies, mēs mēģināsim izveidot lietotāju atļauju organizatoriskajā vienībā, lai apstiprinātu, ka varam izveidot lietotāju.
PALIELINĀT
Mēs izveidosim lietotāju ar nosaukumu Solvetic1. Mēs arī izveidosim grupu ar nosaukumu Testi (atcerieties, ka piekļuves lietotājam tika deleģēta kontrole, lai izveidotu, rediģētu vai dzēstu lietotājus un grupas).
Ja mēs mēģinām veikt uzdevumu, kas nav deleģēts, piemēram, pievienojot komandu vai kādu citu, mēs redzēsim, ka tiek parādīts ziņojums, kas norāda, ka drošības apsvērumu dēļ mēs nevaram izveidot objektu.
4. Pārbaudiet izveidotās grupas atļaujas
Mēs varam atkal piekļūt sistēmai Windows Server 2016 kopā ar lietotāju Administrators un dodamies uz Active Directory lietotājiem un datoriem, tur mums jāiet uz izvēlni Skats un jāizvēlas opcija Papildu funkcijas. Tur ar peles labo pogu noklikšķiniet uz Atļauju organizatoriskās vienības un redzam, ka grupai Solvetic ir īpašas atļaujas.
Nospiežot pogu Papildu opcijas, mēs redzēsim atļaujas, kuras esam izveidojuši deleģēšanas procesa laikā.
Kā redzam Izmantojot vadības deleģēšanu sistēmā Windows Server 2016, mēs varam piešķirt konkrētus uzdevumus, neapdraudot servera un domēna drošību un integritāti..
Kaut kas svarīgs, kas mums jāpatur prātā, ir tas, ka, izmantojot kontroles deleģēšanu, mēs varam piešķirt tikai atļaujas, bet ne ierobežot vai mainīt atļaujas konkrētiem lietotājiem. Izmantosim šo interesanto rīku mūsu organizācijās, lai nepievienotu administratoru grupai nevienu lietotāju, kuram nepieciešama kāda veida atļauja.
Šeit ir apmācība, kas varētu jūs interesēt:
Pārvaldiet AD sistēmā Windows Server 2016
