Делегирование разрешений Windows различным группам администраторов [закрыто]
У нас есть несколько серверов Windows. На них работают всевозможные службы, DNS, SQL Server, IIS, Oracle и т.д.
Мы хотим создать несколько групп AD, скажем, DBA, WebAdmin и SAPAdmin.
Затем мы хотим делегировать этим группам достаточно прав на этих Windows Server. Вот несколько примеров
- DBA может только запускать/останавливать службы на сервисах, связанных с базами данных Oracle и SQL Server, но не другие
- DBA может запускать программное обеспечение, связанное с Oracle/SQL Server, но не другие
- DBA может устанавливать/удалять патчи, связанные с Oracle/SQL Server, но не другие
- DBA может касаться файлов базы данных или связанного реестра, но не других на том же сервере (например, веб-сервере)
Аналогичное требование для WebAdmin и SAPAdmin. В настоящее время мы разрешаем всем этим пользователям входить на сервер и выполнять свою работу, но, к сожалению, мы не можем найти способ полностью заблокировать все разрешения. Я могу установить ACL для служб, реестра и файлов, чтобы выполнить часть моих требований.
Теперь у меня две проблемы.
Я все еще не могу найти способ предотвратить выполнение пользователями несвязанных программ или установку несвязанных программ/патчей.
Я все еще не могу найти способ блокировать выполнение конкретной оснастки. Я могу заблокировать выполнение exe-файла путем установки его ACL, но я не могу заблокировать конкретную оснастку путем установки ACL на ее DLL
Если нет способа решить вышеуказанные проблемы напрямую, я буду рад принять любое обходное решение. Суть в том, чтобы предоставить наименьшие привилегии каждой из групп и не позволить разным группам людей испортить чужое ПО на общем сервере.
К сожалению, вы будете изрядно зациклены на серверах Windows - во многих случаях конструкция операционной системы просто не позволит вам делать то, что вам нужно для достижения «минимальных привилегий». Хотя вы, конечно, можете настроить политики ограниченного использования программ для предотвращения запуска неавторизованных приложений и настроить групповые политики, чтобы разрешить пользователям запускать / останавливать определенные службы , это будет множество проблем, с которыми вы можете столкнуться в повседневной работе администратора:
- установка большинства исправлений, вероятно, потребует привилегий «Администратора» и не будет урегулирована с «обычными» правами пользователя, даже если пользователь имеет «полный контроль» доступ к программному каталогу
- из-за очень упрощенных функций управления ресурсами в Windows Server (вы не можете ограничить объем памяти или процессорного времени, выделяемого процессам пользователя) администраторы баз данных по-прежнему смогут выполнять действия на сервере, которые могут серьезно повредить другие запущенные процессы
- , если вы сделаете своих пользователей DBA локальными администраторами, независимо от того, какие действия вы выполняете, чтобы «заблокировать их», они смогут обойти любые ограничения и выйти из любой тюрьмы намеренно
Как уже указывалось в bot403, административное разделение лучше всего выполнять путем настройки выделенного сервера с наименьшей вероятностью вмешательства в несвязанные службы. Виртуализация должна помочь вам в этом, хотя и за счет памяти и накладных расходов на обработку. Вы можете минимизировать накладные расходы, не полностью виртуализируя хосты, но используя контейнеры, которые позволят вам обеспечить достаточный уровень управления ресурсами и административного разделения. Взгляните на Parallels Virtuozzo , чтобы увидеть, как это может выглядеть.