Распределение прав доступа для администраторов разных уровней?

Question

[squidw]

Здравствуйте!
Или плохо искал или информации действительно мало. Как организовывать права доступа для разного уровня доступа администраторам? Как давать права таким образом чтобы человек не имел право заходить на определенную машину,например DC, то есть порой в моем случае проще сделать запрет на отдельный источник а на остальные станции/сервера можно. Дальше когда человек пройдет некоторый срок, то вопрос стоит чтобы, например все на том же DC ему можно было быть администратором DHCP и DNS, в остальном обычный юзер. То есть вопрос стоит не только в формате разрешение/запрет на станцию/ресурс, но и более гибкие права в оснастках и настройках для других админов.
Я примерно видел что можно давать права на OU, настраивается на самом DC я понимаю. Но вопрос какие схемы используете вы? Как технически а не на словах это организовать?
Новому сотруднику понятно нужно выдавать по частям все, но зачастую на просторах интернета вижу что выдают очень часто либо все либо ничего в своих конторах, основываясь на доверии. Хотя как по мне это из-за некомпетентности как и у меня, с той лишь разницей что я пытаюсь в себе это изменить.
Если же человек уже принят то тут тоже я считаю что прав у него должно быть ровно столько сколько нужно для выполнения своих должностных обязанностей.

Answer 1

[Дмитрий Лебедев]

Вот отличная статья на тему безопасности сети https://habrahabr.ru/post/283482/

Comments

[squidw]

а что-то более приземленное есть? Чтобы все это наращивать поэтапно? В данной статье уже описано для тех кто что-то уже понимает в этом с точки зрения реальной реализации а не просто описания

[Дмитрий Лебедев]

squidw: https://www.youtube.com/results?search_query=windo... вот куча бесплатных курсов
https://www.youtube.com/watch?v=ysO3ssOEPGU я смотрел это

Answer 2

[CityCat4]

В винде все это практически уже есть. Есть группы, есть групповые политики. Блокировка логина на DC делается через политику контроллеров домена - они выведены в отдельную единицу и совершенно верно. Раздача прав на сервисы сделана через группы прав доступа - добавил юзера в группу - аля улю. Например на одном из предыдущих мест я не был Domain Admin, хотя атрибуты юзеров править мог. Всех, кроме себя и сотрудников отдела ИТ :)

Другое дело, что это используется только в весьма крупных структурах. Почему? В конторе, где один-два-три админа, каждый из них, как правило "и швец, и жнец, и на машинке умею..." и наличие у каждого из них всех прав - это некая страховка от того, что один заболел - и контора встала (ситуация вовсе не надуманная, вот недавно я лежал в больнице - так мне ноут закинули с 3G-модемом, чтобы я срочно решил некий вопрос)

Comments

[squidw]

Раздача прав на сервисы сделана через группы прав доступа

а можно по подробней как это делается, для меня конкретно этот момент вообще темный лес. То есть как например дать гипотетическому админу право на управление принтерами(добавление, удаление,общий доступ и тд) и доступ к службе "диспетчер очереди печати"

[CityCat4]

squidw: Ищите и читайте книги по винде. Тут без скринов никак, а делать мне их лениво.

Answer 3

[xmoonlight]

Для этого есть доменные политики и группы (Domain GPO).
Вот отталкивайтесь от этого.
Всё настраивается.

Comments

[squidw]

Доменных политик много как утрамбовать это в разрезе постепенного, постепенного самообучения и внедрения. Ваш ответ ни к чему не привел, я и так догадывался что это настраивается через групповые политики, OU в частности упомянул.

[xmoonlight]

squidw: Почитайте документацию.