Jedan od najvažnijih, ali istovremeno i pažljivih aspekata u poslužiteljskom okruženju je definiranje tko može pristupiti poslužitelju i koje privilegije mogu imati unutar sustava od sve promjene koje nisu potrebne ili odobrene mogu ugroziti cijelu infrastrukturu organizacije.
Mnogi od nas kao IT osoblje u našim tvrtkama morali smo dodijeliti administratorska dopuštenja korisnicima koji ne bi trebali biti u toj grupi zbog činjenice da trebaju obaviti neku vrstu administrativnog zadatka, a kao normalni korisnici to nije moguće.
Pravi primjer koji znamo je da je bilo potrebno dodati korisnika iz grupe sustava u zemlji Boliviji u grupu administratora kako bi mogla stvoriti korisnike u posebnoj organizacijskoj jedinici, za što je bilo potrebno dodati tog korisnika u grupa administratora i iznenađenje Došlo je kada je ovaj korisnik eliminirao vrlo važnu proizvodnu opremu, što je u tvrtki izazvalo mali kaos.
Za rješavanje ovih problema Windows Server uključuje mogućnost delegiranja administracije od određenih zadataka do određenih korisnika u određenim OU -ovima, domenama ili GPO -ovima.
1. Razumijevanje delegiranja administracije u sustavu Windows Server 2016
Mnogima bi moglo zvučati kaotično i opasno dodjeljivanje administrativnih uloga korisnicima koji možda nemaju iskustvo ili znanje za upravljanje elementima sustava Windows Server 2016, a, kako dobro znamo, nije moguće dodati korisnika u grupu administratora i ograničiti zadatke budući da prema zadanim postavkama ova grupa daje sve mogućnosti upravljanja poslužiteljem.
Delegiranjem administracije možemo naznačiti da korisnik bez dubokog iskustva može stvoriti korisnika u određenoj organizacijskoj jedinici bez utjecaja na ostatak sustava jer će imati pristup samo tamo gdje mi odredimo, a ne i cijelom stablu Windows Server 2016.
Administrativna dopuštenja mogu se dodijeliti korisniku ili grupi Sadrži različite korisnike, ali najvažnije je da nam je vrlo jasno koja dopuštenja i kome dajemo. Za ovu studiju stvorili smo OU pod nazivom Dopuštenja i stvorili smo grupu pod nazivom Solvetic i korisnika po imenu Access (korisnik je uključen u grupu Solvetic).
Kako znamo da se svaki korisnik ne može odmah povezati s domenom, moramo autorizirati pristup tog korisnika domeni, za što dajemo dopuštenje korisniku Pristup za povezivanje s domenom.
Da bismo uspostavili ovo dopuštenje, moramo otvorite uređivač GPO pravila grupe, da biste to učinili, pritisnite tipku za držanje Windows + R Čini se da će moći unijeti naredbu za izvršavanje, upišite:
gpedit.mscići ćete na sljedeću rutu:
- Lokalne politike računala
- Konfiguracija opreme
- Postavke sustava Windows
- Sigurnosne postavke
- Lokalne direktive
- Ustupanje prava
I tu odaberite opciju Dopusti lokalnu prijavu. Time će se ova grupa ili odabrani korisnik moći prijaviti lokalno na računalo ili poslužitelj kako bi mogli izvršavati određene određene zadatke.
Ovdje jednostavno dodajemo grupu Solvetic kako bi se korisnik Access mogao prijaviti.
2. Provedite delegiranje administracije u sustavu Windows Server 2016
Nakon što smo dodali korisnika kako bi se mogao prijaviti, počet ćemo postupak delegiranja navedenom korisniku, u ovom slučaju Pristup, dodijelit ćemo mu dopuštenja za organizacijsku jedinicu Dopuštenja. Za to ćemo dati Desnom tipkom miša kliknite organizacijsku jedinicu Dopuštenja i odaberite opciju Kontrola delegata.
Vidimo da se prikazuje čarobnjak za delegiranje kontrole. Kliknemo Dalje.
Zatim moramo dodati Solvetic grupu koju smo stvorili, za to kliknite gumb Dodaj i potražite grupu.
Ponovno kliknite Dalje i možemo vidjeti da postoje različiti zadaci koji se mogu delegirati korisniku, kao što su:
- Stvaranje, uređivanje ili brisanje grupa
- Stvaranje, uređivanje ili brisanje korisnika
- Izmijenite članstvo u grupi
- Upravljajte pravilima grupe
U ovom slučaju Odabrat ćemo opcije Stvaranje, brisanje i upravljanje grupama te Stvaranje, brisanje i upravljanje korisničkim računima odabirom odgovarajućih okvira.
Kliknemo Dalje i vidimo da smo dovršili potrebnu konfiguraciju.
Pritisnite Završi za izlaz iz čarobnjaka.
3. Provjerite delegiranje kontrole
Zatim ćemo se prijaviti s korisnikom Accessa u sustavu Windows Server 2016.
POVEĆAJTE
Nakon što smo se prijavili, pokušat ćemo stvoriti korisnika u organizacijskoj jedinici Dopuštenja kako bismo potvrdili da možemo stvoriti korisnika.
POVEĆAJTE
Stvorit ćemo korisnika po imenu Solvetic1. Također ćemo stvoriti grupu pod nazivom Testovi (zapamtite da je korisniku pristupa dodijeljena kontrola za stvaranje, uređivanje ili brisanje korisnika i grupa).
Ako pokušamo izvršiti zadatak koji nije delegiran, na primjer dodavanjem tima ili bilo kojeg drugog, vidjet ćemo da se prikazuje poruka koja pokazuje da iz sigurnosnih razloga ne možemo stvoriti objekt.
4. Provjerite dopuštenja stvorene grupe
S administratorskim korisnikom možemo ponovno pristupiti sustavu Windows Server 2016 i idemo na Korisnici i računala aktivnog imenika, tamo moramo otići na izbornik Pogled i odabrati opciju Napredne značajke. Tamo desnom tipkom miša kliknite organizacijsku jedinicu Dopuštenja i možemo vidjeti da grupa Solvetic ima posebna dopuštenja.
Ako pritisnemo gumb Napredne mogućnosti, moći ćemo vidjeti dopuštenja koja smo stvorili tijekom procesa delegiranja.
Kao što vidimo Korištenjem delegiranja kontrole u sustavu Windows Server 2016 možemo dodijeliti posebne zadatke bez ugrožavanja sigurnosti i integriteta poslužitelja i domene..
Nešto važno što moramo imati na umu je da pomoću delegiranja kontrole možemo samo dodijeliti dopuštenja, ali ne i ograničiti ili izmijeniti dopuštenja za određene korisnike. Upotrijebimo ovaj zanimljiv alat u našim organizacijama kako bismo izbjegli dodavanje korisnika koji zahtijevaju neku vrstu dopuštenja u grupu administratora.
Evo vodiča koji bi vas mogao zanimati:
Upravljajte oglasom u sustavu Windows Server 2016
