Active Directory - права пользователя [закрыто]
Я создаю среду, в которой я использую Active Directory в основном для:
- Централизованной аутентификации и авторизации для наших серверов (Linux и Windows)
- Единый вход для различных наших служб (SAML и т. Д.)
- Распределение Enterprise PKI
В нашей компании все сотрудники имеют повышенную степень свободы. Нам все равно, какое программное обеспечение они устанавливают на свой компьютер и к каким сайтам получают доступ. Итак, мы хотели бы сохранить следующее:
- Все пользователи могут делать на своем компьютере практически все, что захотят (устанавливать программное обеспечение, перемещаться по любому веб-сайту)
- Пользователи не могут получать доступ к файлам друг друга
- Только люди инфраструктуры могут получить доступ к серверам
Похоже, что это необычная установка, поскольку мы хотим сохранить полную свободу пользователей (мы даже принесли сюда ваше собственное устройство).
Какие наиболее важные настройки мне следует сделать в этом случае? Существует множество объектов групповой политики по умолчанию, которые блокируют многое для обычных пользователей.
Все пользователи могут делать на своем компьютере практически все, что захотят (устанавливать программное обеспечение, перемещаться по любому веб-сайту)
Пользователи не могут получать доступ к файлам друг друга
Только люди инфраструктуры могут получить доступ серверы
Для точек (1) и (2) выше, убедитесь, что предоставили пользователям права локального администратора только на ноутбуки, которые используют.
Для пункта (3) обязательно предоставьте пользователям инфраструктуры права администратора домена .
Кроме того, если, как вы говорите, ноутбуки большую часть времени используются вне офиса, вы можете включить BitLocker и на ноутбуках.
При обычных и стандартных настройках / конфигурации стандартные пользователи не могут получить доступ к серверам административно (если серверы и учетные записи пользователей и группы были настроены правильно), стандартные пользователи не могут получить доступ к другим пользователям файлы (если файлы были правильно защищены). Если вы добавите соответствующую стандартную учетную запись пользователя в локальную группу администраторов на каждом компьютере, то каждый пользователь будет иметь права локального администратора только на своем компьютере и не будет иметь прав администратора на любом другом компьютере, сервере или в домене.
Фактически, то, что вы здесь описываете, является стандартной настройкой для пользователей. Однако для установки программного обеспечения могут потребоваться права локального администратора. Это зависит от программного обеспечения. Однако кто-то с правами локального администратора может получить доступ ко всем файлам в системе, в том числе и к файлам других пользователей.
Если вы храните файлы на NAS или подобном, вы можете выполнять там нужное управление, и локальные администраторы не будут иметь доступа к файлам. .
Доступ к серверам, когда он осуществляется через RDP, WinRM или аналогичный, будет разрешен только для администраторов домена по умолчанию, любой другой должен быть добавлен в соответствующие группы на сервере.