Задать вопрос

Как управлять правами администратора на севрерах в гетерогенной среде?

Вот тут задался вопросом.

Как правильнее или удобнее или лучше управлять правами администратора к серверам?

Например, я сейчас под каждый сервер, где мне надо дать права особенному набору пользователей - создаю группу, которая является частью локальной группы администраторов для этого сервера.

Скажем есть 5 серверов. SER001TL, SER002TL и т.д до 5. В АД создано 5 групп - SER001TL.admins , SER002TL.admins и т.д. Еще есть SER.Global.Admins.

Глобал админс - дает права администратора на всех серверах типа SER. Причем сервер получает эту группу автоматически, когда его перемещаю в нужный контейнер в АД.
А вот SERxxx добавляю вручную.

Есть способы удобнее? Что вы думаете?
  • Вопрос задан
  • 3158 просмотров
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
Почитайте уже про делегирование полномочий
сайт global - только доменные администраторы - вася и женя
сайт office1 - делегирование прав на катю и петю
а Тамара из HR может только добавлять учётки и сбрасывать пароли.
всё.
Ответ написан
По мне так правильно делаете, только я бы назвал группы не по имени сервера, а по ролям или как-нибудь обобщённо, например: "Администраторы MSSQL", "Администраторы серверов терминалов", вам виднее, далее через ГП (Конфигурация компьютера->Настройка->Параметры панели управления->Локальные пользователи и группы), если у вас сервера раскиданы по разным "OU", добавлял бы нужные группы в локальную группу "Администраторы", если не раскиданы по "OU", то ручками на каждом сервере.
В этом случае не нужно будет пользователей закидывать отдельно в группу конкретного сервера, а достаточно будет закинуть в группу с нужной ролью, тем самым выдав админские права сразу на группу серверов.
Что касается глобальных админов, то создать такую группу и включить её в группы по ролям, тогда не нужно будет её отдельно включать в группу локальных админов, или такую группу включать через ГП.
Ответ написан
Комментировать
Почему вы среду назвали гетерогенной? Если она у вас вся из MS Windows Server, то она вполне себе гомогенная и использование AD для управления правами вполне кошерное решение.

Удобнее только кнопка "Сделать хорошо!" =) Чего вы хотите то?
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
более сложный вариант это к AD прикрутить авторизацию на юникс серверах и прокси на сквиде, но тоже можно
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы