Jedním z nejdůležitějších, ale zároveň pečlivých aspektů v serverovém prostředí je definovat, kdo má přístup k serveru a jaká oprávnění může mít v systému, protože jakékoli nepožadované nebo schválené změny mohou ohrozit celou infrastrukturu organizace.
Mnozí z nás jako pracovníci IT v našich společnostech museli udělit oprávnění správce uživatelům, kteří by v této skupině neměli být, protože potřebují provést nějaký typ administrativní úlohy a jako běžní uživatelé to není možné.
Skutečný příklad, který víme, je, že bylo nutné přidat uživatele ze skupiny systémů v zemi Bolívie do skupiny správců, aby mohl vytvářet uživatele do speciální organizační jednotky, pro kterou bylo nutné přidat uvedeného uživatele do skupina Administrators a překvapení Přišlo, když tento uživatel odstranil některá velmi důležitá výrobní zařízení, což ve společnosti vyvolalo malý chaos.
K vyřešení těchto problémů Windows Server obsahuje možnost delegovat správu od určitých úkolů po konkrétní uživatele v určitých organizačních jednotkách, doménách nebo GPO.
1. Vysvětlení delegování správy v systému Windows Server 2016
Pro mnohé může znít chaoticky a nebezpečně přiřazovat administrativní role uživatelům, kteří nemusí mít zkušenosti nebo znalosti pro správu prvků systému Windows Server 2016, a jak dobře víme, není možné přidat uživatele do skupiny Administrators a omezit úkoly od Ve výchozím nastavení tato skupina uděluje veškerou správu přes server.
Delegováním správy můžeme naznačit, že uživatel bez hlubokých zkušeností může vytvořit uživatele v konkrétní organizační jednotce, aniž by to ovlivnilo zbytek systému, protože bude mít přístup pouze tam, kde určíme my, a nikoli do celého stromu Windows Server 2016.
Administrátorská oprávnění lze udělit uživateli nebo skupině Obsahuje různé uživatele, ale nejdůležitější je, že si velmi dobře uvědomujeme, jaká oprávnění a komu je udělujeme. Pro tuto studii jsme vytvořili organizační jednotku s názvem Oprávnění a vytvořili jsme skupinu s názvem Solvetic a uživatele s názvem Přístup (uživatel byl zařazen do skupiny Solvetic).
Jak víme, každý uživatel se nemůže připojit k doméně okamžitě, musíme autorizovat přístup tohoto uživatele k doméně, ke kterému udělujeme uživateli oprávnění Přístup pro připojení k doméně.
Abychom toto povolení mohli zřídit, musíme otevřete editor zásad skupiny GPO, Chcete -li to provést, stiskněte a podržte tlačítko Okna + R. zobrazí se, že je schopen zadat příkaz ke spuštění, zadejte:
gpedit.mscpůjdete na následující trasu:
- Zásady místního počítače
- Konfigurace zařízení
- Nastavení systému Windows
- Bezpečnostní nastavení
- Místní směrnice
- Postoupení práv
A tam vyberte možnost Povolit místní přihlášení. Díky tomu se tato skupina nebo vybraný uživatel bude moci přihlásit místně k počítači nebo serveru, aby mohl provádět určité určené úkoly.
Zde jednoduše přidáme skupinu Solvetic, aby se mohl uživatel Access přihlásit.
2. Implementujte delegování správy v systému Windows Server 2016
Jakmile přidáme uživatele, aby se mohl přihlásit, zahájíme proces delegování uvedenému uživateli, v tomto případě Accessu, udělíme mu oprávnění v organizační jednotce Oprávnění. Za to dáme Klikněte pravým tlačítkem na organizační jednotku Oprávnění a vyberte možnost Delegovat řízení.
Vidíme, že se zobrazí průvodce pro delegování kontroly. Klikneme na Další.
Dále musíme přidat skupinu Solvetic, kterou jsme vytvořili, za tímto účelem klikneme na tlačítko Přidat a skupinu vyhledáme.
Znovu klikneme na Další a vidíme, že existují různé úkoly, které lze uživateli delegovat, například:
- Vytvářejte, upravujte nebo odstraňujte skupiny
- Vytvářejte, upravujte nebo odstraňujte uživatele
- Upravit členství ve skupině
- Spravovat zásady skupiny
V tomto případě Vybereme možnosti Vytvořit, odstranit a spravovat skupiny a Vytvářet, mazat a spravovat uživatelské účty výběrem příslušných políček.
Klikneme na Další a vidíme, že jsme dokončili požadovanou konfiguraci.
Kliknutím na Dokončit průvodce ukončíte.
3. Ověřte delegování kontroly
Dále se přihlásíme pomocí uživatele aplikace Access v systému Windows Server 2016.
ZVĚTŠIT
Jakmile se přihlásíme, pokusíme se vytvořit uživatele v organizační jednotce Oprávnění, abychom ověřili, že můžeme uživatele vytvořit.
ZVĚTŠIT
Vytvoříme uživatele s názvem Solvetic1. Vytvoříme také skupinu s názvem Testy (pamatujte, že přístupovému uživateli byla delegována kontrola vytváření, úpravy nebo mazání uživatelů a skupin).
Pokud se pokusíme provést úkol, který nebyl delegován, například přidání týmu nebo jiného, uvidíme, že se zobrazí zpráva označující, že z bezpečnostních důvodů nemůžeme vytvořit objekt.
4. Zkontrolujte oprávnění vytvořené skupiny
K systému Windows Server 2016 se můžeme znovu dostat s uživatelem Administrator a přejdeme na Uživatelé a počítače Active Directory, tam musíme přejít do nabídky Zobrazit a vybrat možnost Pokročilé funkce. Tam klikneme pravým tlačítkem na organizační jednotku Oprávnění a vidíme, že skupina Solvetic má speciální oprávnění.
Pokud stiskneme tlačítko Pokročilé možnosti, uvidíme oprávnění, která jsme vytvořili během procesu delegování.
Jak vidíme Pomocí delegování kontroly v systému Windows Server 2016 můžeme přiřadit konkrétní úkoly, aniž bychom ohrozili zabezpečení a integritu serveru a domény..
Něco důležitého, co musíme mít na paměti, je, že pomocí delegování kontroly můžeme přiřadit pouze oprávnění, ale neomezovat ani upravovat oprávnění konkrétním uživatelům. Použijme tento zajímavý nástroj v našich organizacích, abychom se vyhnuli přidání jakéhokoli uživatele, který vyžaduje nějaké oprávnění do skupiny Administrators.
Zde je návod, který by vás mohl zajímat:
Spravovat AD v systému Windows Server 2016
