Как правильно ораганизовать доступ?

Добрый день, сообщество!
Имеется три системных администратора. Несколько серверов в датацентре (DC) на которых крутятся виртуальные машины, несколько серверов клиентов. Все сервера на Windows Server от 08 до 19. Где есть Active Directory, где нет.
Как правильно организовать доступ администраторам?
Сейчас у всех один логин и пароль, считаю, что так делать неправильно, т.к. концов потом не найти, кто, что сломал и кого пинать.
Вариант каждому сделать свой логин и пароль тоже очень скользкий, т.к. если человек уходит, то надо все учётки отключать.
Небольшая схема для визуализации вопроса.
5e3124ba025c0641197937.png
  • Вопрос задан
  • 509 просмотров
Решения вопроса 1
@KPOBABAK
Делаете терминал. Настраиваете там учетки для 3х админов.
Настраиваете там доступы ко всем ресурсам что они должны админить.
Настраиваете белые списки ip для доступа к терминалу. (+впн если надо)
Ушел админ его ip выкидывается из списка.
Соответственно все клиентские сервера разрешено админить только с терминала этого.
Ответ написан
Пригласить эксперта
Ответы на вопрос 7
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
А что Вы собственно хотите-то? Ну сделайте три обезличенных учетки - admin1, admin2, admin3 и закрепите за каждой конкретного Иванова, Петрова и Щварцмана. Здесь не придумать других вариантов, кроме как: одна учетка на всех, обезличенные учетки у каждого, персональные учетки у каждого.
Ответ написан
@DDwrt100
Без централизованной системы учета, вы все в любом случае попадаете на рутинные действия по администрированию учеток администраторов.

Как вариант выделите отдельный сервер, который будет использоваться для администрирования.
Со стороны администраторов учетные записи.
Ответ написан
@dshumov
Олдскул - Фигурнов форева
Имеется три системных администратора

Вариант каждому сделать свой логин и пароль тоже очень скользкий, т.к. если человек уходит, то надо все учётки отключать.

И с этим вы хотите разграничивать доступ....... ИМХО вышеописанная практика опасна и не должна быть в наличии.
Самый правильный вариант:
Каждый админ имеет 2 (ДВЕ) УЗ - рабочая и админская. С рабочей он сидит на локальном компе и права у нее как и у всех пользователей. С админской он ходит и админит на серверах. На них и накручиваете права. Аля:
Создать группы: имя_сервера_РОЛЬ и в них включать админские УЗ кому куда хотите дать доступ.
Ответ написан
@Andrey001
У каждого админа своя учётка.
Если увольняется админ, в AD меняете пароль/блокируете учётку. На машины вне домена доступ должен быть ограничен через rdp только с определённой машины, которая в свою очередь в домене. Прямой доступ с правами администратора к базам только с локального хоста либо со специальной машины для управления, без прав (только чтение, запись в разрешённые таблицы/базы) с любой машины.
У вас же везде windows, почему не всё в домене?
Ответ написан
Индивидуальные учетки, централизованное управление учетками. В ваших масштабах подойдёт вариант с ansible и текстовый файлы с учеткамии администраторов
Ответ написан
@dronmaxman
VoIP Administrator
Не надо придумывать велосипед.
Дешево, Удобно и Безопасно в одном флаконе не бывает.

Есть домен, значит у каждого должна быть своя учетка. Не удобно - это не аргумент.
Ответ написан
@beerchaser
А поднять двухфакторную с привязкой к корпоративному номеру? Человек уходит - блочите симку , переключаете номер на новую? Или с привязкой к корпоративной почте?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы