Я вношу некоторые коренные изменения в Windows Server 2003 / среда 2008 года. На стороне Unix мои ограничения безопасности просты:
В этой системе я могу управлять, у кого есть административные привилегии (составом группы), предотвратите их от случайного выполнения чего-то с административными привилегиями случайно (путем требования "su" или "sudo"), и никогда не показывайте базового "Администратора" (т.е. "корень") пароль, так как их просят относительно их собственного.
Как я делаю эквивалент на Windows Server? Опции, поскольку я вижу его:
Есть ли любое решение, где я могу одновременно: управление, у кого есть доступ составом группы; предотвратите их от случайного выполнения разрушительных вещей путем требования отдельного пароля; предотвратите их от когда-либо знания Пароля администратора?
Во-первых, только администраторы должны получать доступ к админу, так что если нет веской причины, по которой он им нужен, то это должно быть оставлено на усмотрение администраторов; бывают редкие случаи, когда обычный пользователь получает доступ к админу, и даже тогда я обычно скептически отношусь к тому, зачем он им нужен.
Во-вторых, вы можете сделать то, что вы хотите сделать, используя членство в группах в Windows. Вы не говорили, что используете Active Directory, поэтому я не уверен, есть ли у вас домен и делаете ли вы это, но вы можете создавать группы безопасности и добавлять к ним отдельные учетные записи пользователей. Смотрите сюда. Я бы не стал добавлять пользователей в группу локальных администраторов на сервере по отдельности, так как это приведет к неприятностям и будет сложно отследить, а это создаст для вас много головной боли и потенциальных проблем с безопасностью. Как уже упоминалось выше, я бы создал группу безопасности и добавил пользователей, которые будут иметь доступ к этой группе администраторов. Вы создадите две учетные записи пользователей; одну для регулярного входа, а затем вторую, которая использовалась только для повышенных действий. Вы добавляете учетную запись пользователя "выше/привилегированный" в группу безопасности, затем, вы можете поместить эту группу в повышенную локальную группу членства на реальном сервере, скажем, Power Users, например. Это позволит им выполнять множество функций, не будучи администраторами. Иногда группе требуется доступ локального администратора, и в этот момент Вы можете поместить группу в группу локального администратора на сервере.
Что касается Run As Administrator, Вам не нужно делать это постоянно. Лучший способ заставить людей запускать вещи, не зная ни Администратора, ни любого администратора, пароль - это использовать Shift+Правый клик и затем выбрать Run as different user (Запустить от имени другого пользователя), или Правый клик и Run as Administrator (Запустить от имени администратора). Сначала вы захотите создать для них отдельного пользователя с более высокими правами, или с повышенными правами, как упоминалось выше (этот повышенный пользователь снова будет добавлен в группу безопасности, как упоминалось выше). так как в этом случае этот пользователь может быть использован для выполнения вещей, требующих высоты во время входа в систему с обычной/стандартной учетной записью пользователя. Смотрите мой скриншот:
Это должно позаботиться о том, что вы хотите сделать, так как вы можете запускать вещи от имени администратора. И последнее замечание, которое я могу добавить, это то, что UAC должен оставаться включенным. Если вы это сделаете, то пользователи должны будут ввести свой (повышенный) пароль, а не пароль администратора для того, что они делают на сервере. Это больно, когда приходится много вводить, но для безопасности это того стоит
.В сервере 2003 вам нужно использовать опцию Run As...
для запуска от имени учетной записи с правами администратора.
В сервере 2008+, вы используете UAC, и/или предложенную вами опцию Run as Administrator
. Для этого не требуется знать пароль к [локальной] административной учетной записи - это сделает любая учетная запись администратора.
Таким образом, вы добавите их учетные записи в локальную административную группу, или лучше, с точки зрения безопасности, создадите отдельные административные учетные записи и добавьте их в локальную административную группу. Затем, когда им нужно будет запустить что-то с административными привилегиями, UAC запросит учетные данные администратора и/или они воспользуются опцией Run As...
/Run as Administrator
.
Оставьте их стандартную учётную запись как "стандартную". Создайте для них привилегированную вторую учётную запись и добавьте её в различные административные группы. Использовать 'runas' с привилегированной учетной записью. (Возможно, вам будет полезно отключить интерактивные входы с учетной записью администратора, но опять же - это, скорее всего, будет раздражать).