Задать вопрос
@squidw

Распределение прав доступа для администраторов разных уровней?

Здравствуйте!
Или плохо искал или информации действительно мало. Как организовывать права доступа для разного уровня доступа администраторам? Как давать права таким образом чтобы человек не имел право заходить на определенную машину,например DC, то есть порой в моем случае проще сделать запрет на отдельный источник а на остальные станции/сервера можно. Дальше когда человек пройдет некоторый срок, то вопрос стоит чтобы, например все на том же DC ему можно было быть администратором DHCP и DNS, в остальном обычный юзер. То есть вопрос стоит не только в формате разрешение/запрет на станцию/ресурс, но и более гибкие права в оснастках и настройках для других админов.
Я примерно видел что можно давать права на OU, настраивается на самом DC я понимаю. Но вопрос какие схемы используете вы? Как технически а не на словах это организовать?
Новому сотруднику понятно нужно выдавать по частям все, но зачастую на просторах интернета вижу что выдают очень часто либо все либо ничего в своих конторах, основываясь на доверии. Хотя как по мне это из-за некомпетентности как и у меня, с той лишь разницей что я пытаюсь в себе это изменить.
Если же человек уже принят то тут тоже я считаю что прав у него должно быть ровно столько сколько нужно для выполнения своих должностных обязанностей.
  • Вопрос задан
  • 1525 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 2
k3NGuru
@k3NGuru
Сис.админ.КО., подающий надежды кодер :)
Вот отличная статья на тему безопасности сети https://habrahabr.ru/post/283482/
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
В винде все это практически уже есть. Есть группы, есть групповые политики. Блокировка логина на DC делается через политику контроллеров домена - они выведены в отдельную единицу и совершенно верно. Раздача прав на сервисы сделана через группы прав доступа - добавил юзера в группу - аля улю. Например на одном из предыдущих мест я не был Domain Admin, хотя атрибуты юзеров править мог. Всех, кроме себя и сотрудников отдела ИТ :)

Другое дело, что это используется только в весьма крупных структурах. Почему? В конторе, где один-два-три админа, каждый из них, как правило "и швец, и жнец, и на машинке умею..." и наличие у каждого из них всех прав - это некая страховка от того, что один заболел - и контора встала (ситуация вовсе не надуманная, вот недавно я лежал в больнице - так мне ноут закинули с 3G-модемом, чтобы я срочно решил некий вопрос)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Для этого есть доменные политики и группы (Domain GPO).
Вот отталкивайтесь от этого.
Всё настраивается.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы