У нас есть несколько серверов Windows. На них работают всевозможные службы, DNS, SQL Server, IIS, Oracle и т.д.
Мы хотим создать несколько групп AD, скажем, DBA, WebAdmin и SAPAdmin.
Затем мы хотим делегировать этим группам достаточно прав на этих Windows Server. Вот несколько примеров
Аналогичное требование для WebAdmin и SAPAdmin. В настоящее время мы разрешаем всем этим пользователям входить на сервер и выполнять свою работу, но, к сожалению, мы не можем найти способ полностью заблокировать все разрешения. Я могу установить ACL для служб, реестра и файлов, чтобы выполнить часть моих требований.
Теперь у меня две проблемы.
Я все еще не могу найти способ предотвратить выполнение пользователями несвязанных программ или установку несвязанных программ/патчей.
Я все еще не могу найти способ блокировать выполнение конкретной оснастки. Я могу заблокировать выполнение exe-файла путем установки его ACL, но я не могу заблокировать конкретную оснастку путем установки ACL на ее DLL
Если нет способа решить вышеуказанные проблемы напрямую, я буду рад принять любое обходное решение. Суть в том, чтобы предоставить наименьшие привилегии каждой из групп и не позволить разным группам людей испортить чужое ПО на общем сервере.
К сожалению, вы будете изрядно зациклены на серверах Windows - во многих случаях конструкция операционной системы просто не позволит вам делать то, что вам нужно для достижения «минимальных привилегий». Хотя вы, конечно, можете настроить политики ограниченного использования программ для предотвращения запуска неавторизованных приложений и настроить групповые политики, чтобы разрешить пользователям запускать / останавливать определенные службы , это будет множество проблем, с которыми вы можете столкнуться в повседневной работе администратора:
Как уже указывалось в bot403, административное разделение лучше всего выполнять путем настройки выделенного сервера с наименьшей вероятностью вмешательства в несвязанные службы. Виртуализация должна помочь вам в этом, хотя и за счет памяти и накладных расходов на обработку. Вы можете минимизировать накладные расходы, не полностью виртуализируя хосты, но используя контейнеры, которые позволят вам обеспечить достаточный уровень управления ресурсами и административного разделения. Взгляните на Parallels Virtuozzo , чтобы увидеть, как это может выглядеть.