Как управлять правами администратора на севрерах в гетерогенной среде?

Question

[Роман]

Вот тут задался вопросом.

Как правильнее или удобнее или лучше управлять правами администратора к серверам?

Например, я сейчас под каждый сервер, где мне надо дать права особенному набору пользователей - создаю группу, которая является частью локальной группы администраторов для этого сервера.

Скажем есть 5 серверов. SER001TL, SER002TL и т.д до 5. В АД создано 5 групп - SER001TL.admins , SER002TL.admins и т.д. Еще есть SER.Global.Admins.

Глобал админс - дает права администратора на всех серверах типа SER. Причем сервер получает эту группу автоматически, когда его перемещаю в нужный контейнер в АД.
А вот SERxxx добавляю вручную.

Есть способы удобнее? Что вы думаете?

Answer 1

[Николай Турнавиотов]

Почитайте уже про делегирование полномочий
сайт global - только доменные администраторы - вася и женя
сайт office1 - делегирование прав на катю и петю
а Тамара из HR может только добавлять учётки и сбрасывать пароли.
всё.

Comments

[Роман]

Причем тут сайты? Я вас не совсем понял.
Представьте что у меня есть 100 серверов, и на разных серверах - разные пользователи должны иметь права админов. Как правильнее это сделать? я догадался только до группы, которая зовется как сервер, и она уже засовывается ручками в сервер как админы. И уже в нее динамически добавляю и убираю пользователей. Или группы.

Answer 2

[Сергей Величко]

По мне так правильно делаете, только я бы назвал группы не по имени сервера, а по ролям или как-нибудь обобщённо, например: "Администраторы MSSQL", "Администраторы серверов терминалов", вам виднее, далее через ГП (Конфигурация компьютера->Настройка->Параметры панели управления->Локальные пользователи и группы), если у вас сервера раскиданы по разным "OU", добавлял бы нужные группы в локальную группу "Администраторы", если не раскиданы по "OU", то ручками на каждом сервере.
В этом случае не нужно будет пользователей закидывать отдельно в группу конкретного сервера, а достаточно будет закинуть в группу с нужной ролью, тем самым выдав админские права сразу на группу серверов.
Что касается глобальных админов, то создать такую группу и включить её в группы по ролям, тогда не нужно будет её отдельно включать в группу локальных админов, или такую группу включать через ГП.

Answer 3

[Александр]

Почему вы среду назвали гетерогенной? Если она у вас вся из MS Windows Server, то она вполне себе гомогенная и использование AD для управления правами вполне кошерное решение.

Удобнее только кнопка "Сделать хорошо!" =) Чего вы хотите то?

Comments

[Роман]

А еще есть линуксовые серверы, но с ними совсем другая история.
Допустим гомогенная.
Использование АД - это понятно, но правильно ли я его использую? Как в примере?

Answer 4

[Николай Турнавиотов]

более сложный вариант это к AD прикрутить авторизацию на юникс серверах и прокси на сквиде, но тоже можно