Een van de belangrijkste maar tegelijkertijd zorgvuldige aspecten in een serveromgeving is om te bepalen wie toegang heeft tot de server en welke privileges ze binnen het systeem kunnen hebben sinds alle wijzigingen die niet vereist of goedgekeurd zijn, kunnen de gehele infrastructuur van de organisatie in gevaar brengen.
Velen van ons als IT-personeel in onze bedrijven hebben beheerdersrechten moeten verlenen aan gebruikers die niet tot die groep zouden moeten behoren, omdat ze een soort van administratieve taak moeten uitvoeren en als normale gebruikers is dit niet mogelijk.
Een echt voorbeeld dat we weten, is dat het nodig was om een gebruiker uit de systeemgroep in het land van Bolivia toe te voegen aan de beheerdersgroep, zodat deze gebruikers kon maken voor een speciale organisatie-eenheid, waarvoor het nodig was om die gebruiker toe te voegen aan de groep Administrators en de verrassing Het kwam toen deze gebruiker een aantal zeer belangrijke productieapparatuur elimineerde, wat een kleine chaos in het bedrijf veroorzaakte.
Om deze problemen op te lossen: Windows Server bevat de optie om beheer te delegeren van bepaalde taken tot specifieke gebruikers in bepaalde OU's, domeinen of GPO's.
1. Begrijp delegeren van beheer in Windows Server 2016
Voor velen klinkt het misschien chaotisch en gevaarlijk om beheerdersrollen toe te wijzen aan gebruikers die misschien niet de ervaring of kennis hebben om de elementen van Windows Server 2016 te beheren en, zoals we goed weten, is het niet mogelijk om een gebruiker toe te voegen aan de groep Administrators en beperk taken sinds Standaard verleent deze groep al het beheer over de server.
Door het beheer te delegeren, kunnen we aangeven dat een gebruiker zonder diepgaande ervaring een gebruiker in een specifieke organisatie-eenheid kan maken zonder de rest van het systeem te beïnvloeden, omdat ze alleen toegang hebben tot waar we bepalen en niet tot de hele boom van Windows Server 2016.
Beheerdersrechten kunnen worden verleend aan een gebruiker of een groep Het bevat verschillende gebruikers, maar het belangrijkste is dat we heel duidelijk zijn over welke rechten en aan wie we ze verlenen. Voor dit onderzoek hebben we een OU gemaakt met de naam Permissions en we hebben een groep gemaakt met de naam Solvetic en een gebruiker met de naam Access (de gebruiker is opgenomen in de Solvetic-groep).
Omdat we weten dat geen enkele gebruiker onmiddellijk verbinding kan maken met het domein, moeten we: de toegang van die gebruiker tot het domein autoriseren, waarvoor wij de toestemming aan de gebruiker verlenen Toegang om verbinding te maken met het domein.
Om deze toestemming vast te stellen, moeten we: open de GPO Groepsbeleid-editor, om dit te doen, drukt u op de ingedrukte knop ramen + R verschijnt om een opdracht in te voeren om uit te voeren, typ:
gpedit.mscje gaat naar de volgende route:
- Lokaal computerbeleid
- Apparatuurconfiguratie
- Windows-instellingen
- Veiligheidsinstellingen
- Lokale richtlijnen
- Toekenning van rechten
En daar selecteer de optie Lokaal inloggen toestaan. Hiermee kan deze groep of geselecteerde gebruiker Lokaal inloggen op de computer of server om bepaalde toegewezen taken uit te voeren.
Hier voegen we eenvoudig de Solvetic-groep toe zodat de Access-gebruiker kan inloggen.
2. Implementatie van beheerdelegatie in Windows Server 2016
Nadat we de gebruiker hebben toegevoegd zodat hij kan inloggen, beginnen we met het delegatieproces naar de aangegeven gebruiker, in dit geval Toegang, we gaan hem machtigingen verlenen voor de organisatie-eenheid Permissions. Hiervoor geven we Klik met de rechtermuisknop op de organisatie-eenheid Machtigingen en selecteer de optie Gemachtigdenbeheer.
We zien dat de wizard voor het delegeren van controle wordt weergegeven. We klikken op Volgende.
Vervolgens moeten we de Solvetic-groep toevoegen die we hebben gemaakt, hiervoor klikken we op de knop Toevoegen en zoeken naar de groep.
We klikken weer op Volgende en we zien dat er verschillende taken zijn die aan de gebruiker kunnen worden gedelegeerd, zoals:
- Groepen maken, bewerken of verwijderen
- Gebruikers maken, bewerken of verwijderen
- Groepslidmaatschappen wijzigen
- Groepsbeleid beheren
In dit geval We selecteren de opties Groepen maken, verwijderen en beheren en Gebruikersaccounts maken, verwijderen en beheren het selecteren van de respectievelijke vakjes.
We klikken op Volgende en we kunnen zien dat we de vereiste configuratie hebben voltooid.
Klik op Voltooien om de wizard af te sluiten.
3. Delegatie van controle verifiëren
Vervolgens loggen we in met de Access-gebruiker in Windows Server 2016.
VERGROTEN
Nadat we zijn ingelogd, zullen we proberen een gebruiker aan te maken in de organisatie-eenheid Machtigingen om te valideren dat we een gebruiker kunnen maken.
VERGROTEN
We zullen een gebruiker maken met de naam Solvetic1. We zullen ook een groep maken met de naam Tests (onthoud dat de toegangsgebruiker het beheer heeft gekregen om gebruikers en groepen aan te maken, te bewerken of te verwijderen).
Als we een taak proberen uit te voeren die niet is gedelegeerd, bijvoorbeeld het toevoegen van een team of iets anders, zien we dat er een bericht wordt weergegeven dat aangeeft dat we het object om veiligheidsredenen niet kunnen maken.
4. Controleer de rechten van de aangemaakte groep
We hebben weer toegang tot Windows Server 2016 met de Administrator-gebruiker en we gaan naar Active Directory: gebruikers en computers, daar moeten we naar het menu Beeld gaan en de optie Geavanceerde functies selecteren. Daar klikken we met de rechtermuisknop op de organisatie-eenheid Machtigingen en we kunnen zien dat de Solvetic-groep speciale machtigingen heeft.
Als we op de knop Geavanceerde opties drukken, kunnen we de machtigingen zien die we tijdens het delegatieproces hebben gemaakt.
Zoals we zien Door het delegeren van controle in Windows Server 2016 kunnen we specifieke taken toewijzen zonder de veiligheid en integriteit van de server en het domein in gevaar te brengen..
Iets belangrijks dat we in gedachten moeten houden, is dat we met het delegeren van controle alleen machtigingen kunnen toewijzen, maar geen machtigingen aan bepaalde gebruikers kunnen beperken of wijzigen. Laten we deze interessante tool in onze organisaties gebruiken om te voorkomen dat er een gebruiker wordt toegevoegd die een of andere vorm van toestemming nodig heeft aan de groep Administrators.
Hier is een tutorial die voor u interessant kan zijn:
AD beheren in Windows Server 2016