Как Ограничить доступ администратору?

Question

[Иван]

Добры день.
В сети есть администратор домена. Который должен без проблем выполнять свои обязанности по администрированию серверов.
Появилась необходимость поднять закрытый сервер, доступ к которому будут иметь все, кроме него.

Подскажите, как это организовать ?

Спасибо

upd

Почитал комментарии. Понял что нужно дополнить.

1) Есть Админ Компании и 3 админа филиала.
2) На филиале поднимается спец сервер, к которому не должен иметь доступ Админ компании.

Comments

[tartarelin]

Если он не должен его адмнить, зачем его вводить в AD?

Answer 1

[Андрей Ермаченок]

Появилась необходимость поднять закрытый сервер, доступ к которому будут иметь все, кроме него.

Если нет доверия к Админу - меняйте админа.
Иначе все эти ваши игры вам же боком и выйдут.

Comments

[CityCat4]

Это может быть например сервер СКУД или СМП, куда админ не должен иметь доступа. Вполне нормальная практика. Когда я работал в одной конторе, то админил UNIX, а на винде был вообще рядовым юзером

[Андрей Ермаченок]

CityCat4: Сомнительно, если доступ нужен ВСЕМ кроме Админа.
Если это обычная рабочая ситуация, то опять же поручить админу всё сделать, а потом как у Стугацких:
"Отделу ликвидации самоликвидироваться"

[CityCat4]

Андрей Ермаченок: Меня тоже заинтересовало - как это, всем кроме админа ;)

[АртемЪ]

CityCat4: Это компьютер на котором все пользователи будут делать все то, что админ запрещает им делать.
А доступ ему нельзя давать, чтобы он этого не видел, и его инфаркт не хватил.

[CityCat4]

АртемЪ: Смотреть порнуху, ходить на вконтактик и ставить себе пароль 123456? :D

Answer 2

[CityCat4]

Вогнать сервер в домен. После этого убрать из локальной группы "Администраторы" группу Domain Admins и загнать туда людей, которые будут его админить поименно. Если и шарами он не должен пользоваться - отредактировать локальные политики безопасности. Сервер разместить в отдельном OU, к которому не применяются общие политики (которые, я так полагаю, он может править). Обезопасить консоль - то есть исключить возможность подойти и что-либо сделать (политиками можно включить учетку локального админа и сменить ему пароль). Исключить возможность вскрыть системник - а лучше всего вообще его виртуализовать. Включить всевозможные логи, аудиты, журналы на максимум.

Comments

[d-stream]

Только вначале вогнать, а потом уже убирать... а то может быть веселье -)

[CityCat4]

d-stream: Ну конечно, не наоборот :)

[CityCat4]

Дмитрий: Отобрать права на учетку компа :)

[CityCat4]

Дмитрий: Отобрать права на OU, в которой комп. Тут на самом деле все зависит от многих факторов - и от квалификации того админа в первую очередь. Если он будет туда целенаправленно ломиться - то его возможно проще будет просто уволить. Обычно задача безопасности не предотвратить нечто - зачастую это невозможно - а сделать это невыгодным, сложным, неинтересным etc.
Так и здесь. Информации о том, зачем надо так сделать нет - поэтому предлагается исключительно "лобовое" решение. А возможно задачу можно было бы решить по-другому...

[Василий]

CityCat4: Полностью согласен.

[Sergey SA]

пока комп в домене, Администратор домен имеет над ним полное управления. все описанное легко обходится самим Админом (правка прав на OU, обьект, назначение GPO).

[Андрей Ермаченок]

Даже безо всяких ухищрений с GPO, вы думаете, что Админ не знает пароля менеджера Васи Пупкина или бухи Светы Светиковой? Не смешите! В крайнем случае заведет нового пользователя или сбросит пароль уволенного Пети Петрова, и под ним зайдет на "закрытый сервер".

[CityCat4]

Андрей Ермаченок: Без балды, конечно же. Ведь в условиях "дать доступ всем, кроме Этого" :D Странная задача надо сказать...

Answer 3

[Василий]

Не вводить ПК в домен и дать доступы только тем, кому они необходимы. Проблема решена.

Answer 4

[Sergey SA]

Не заводить комп в домен, обеспечить ему физическую безопасность и шифрование диска, не привлекать админа к обслуживанию компа.