En av de viktigaste men samtidigt noggranna aspekterna i en servermiljö är att definiera vem som kan komma åt servern och vilka privilegier de kan ha inom systemet sedan alla ändringar som inte krävs eller godkänts kan äventyra hela organisationens infrastruktur.
Många av oss som IT -personal i våra företag har varit tvungna att ge administratörsbehörighet till användare som inte borde vara i den gruppen på grund av att de behöver utföra någon form av administrativ uppgif.webpt och som vanliga användare är det inte möjligt.
Ett verkligt exempel som vi vet är att det var nödvändigt att lägga till en användare från systemgruppen i Bolivias land till administratörsgruppen så att den kunde skapa användare till en särskild organisationsenhet, för vilken det var nödvändigt att lägga till användaren till administratörsgruppen och överraskningen Det kom när den här användaren tog bort mycket viktig produktionsutrustning, vilket skapade lite kaos i företaget.
För att lösa dessa problem Windows Server har möjlighet att delegera administration från vissa uppgif.webpter till specifika användare i vissa OU: er, domäner eller GPO: er.
1. Förstå delegering av administration i Windows Server 2016
För många kan det låta kaotiskt och farligt att tilldela administrativa roller till användare som kanske inte har erfarenhet eller kunskap för att hantera elementen i Windows Server 2016 och som vi väl vet är det inte möjligt att lägga till en användare i gruppen Administratörer och begränsa uppgif.webpter sedan Som standard beviljar denna grupp all hantering över servern.
Genom att delegera administrationen kan vi indikera att en användare utan djup erfarenhet kan skapa en användare i en specifik organisationsenhet utan att påverka resten av systemet eftersom de bara kommer att ha åtkomst till var vi bestämmer och inte till hela trädet i Windows Server 2016.
Administrativa behörigheter kan beviljas en användare eller en grupp Den innehåller olika användare men det viktigaste är att vi är mycket tydliga med vilka behörigheter och till vilka vi ger dem. För denna studie har vi skapat en OU som heter Permissions och vi har skapat en grupp som heter Solvetic och en användare som heter Access (användaren har inkluderats i Solvetic -gruppen).
Som vi vet kan alla användare inte ansluta till domänen omedelbart, vi måste godkänna användarens åtkomst till domänen, som vi ger användaren tillstånd för Tillgång för att ansluta till domänen.
För att fastställa detta tillstånd måste vi öppna GPO Group Policy Editor, för att göra detta, tryck på hållknappen Windows + R visas för att kunna ange kommando för att utföra, skriv:
gpedit.mscdu kommer att gå till följande rutt:
- Lokala datorpolicyer
- Utrustningskonfiguration
- Windows -inställningar
- Säkerhetsinställningar
- Lokala direktiv
- Tilldelning av rättigheter
Och där väljer du alternativet Tillåt lokal inloggning. Med detta kommer denna grupp eller utvalda användare att kunna logga in lokalt på datorn eller servern för att kunna utföra vissa angivna uppgif.webpter.
Här lägger vi helt enkelt till Solvetic -gruppen så att Access -användaren kan logga in.
2. Implementera delegering av administration i Windows Server 2016
När vi har lagt till användaren så att han kan logga in kommer vi att påbörja delegeringsprocessen till den angivna användaren, i det här fallet Access kommer vi att ge honom behörighet till organisationsenheten Behörigheter. För detta kommer vi att ge Högerklicka på organisationsenheten Behörigheter och välj alternativet Delegat kontroll.
Vi ser att guiden för delegering av kontroll visas. Vi klickar på Nästa.
Därefter måste vi lägga till den Solvetic -grupp som vi har skapat, för detta klickar vi på knappen Lägg till och söker efter gruppen.
Vi klickar på Nästa igen och vi kan se att det finns olika uppgif.webpter som kan delegeras till användaren, till exempel:
- Skapa, redigera eller ta bort grupper
- Skapa, redigera eller ta bort användare
- Ändra gruppmedlemskap
- Hantera grupprinciper
I detta fall Vi väljer alternativen Skapa, ta bort och hantera grupper och Skapa, ta bort och hantera användarkonton välja respektive rutor.
Vi klickar på Nästa och vi kan se att vi har slutfört den konfiguration som krävs.
Klicka på Slutför för att avsluta guiden.
3. Verifiera delegering av kontroll
Därefter loggar vi in med Access -användaren i Windows Server 2016.
FÖRSTORA
När vi har loggat in försöker vi skapa en användare i organisationsenheten Behörigheter för att verifiera att vi kan skapa en användare.
FÖRSTORA
Vi kommer att skapa en användare som heter Solvetic1. Vi kommer också att skapa en grupp som heter Tests (kom ihåg att åtkomstanvändaren var delegerad kontroll för att skapa, redigera eller ta bort användare och grupper).
Om vi försöker utföra en uppgif.webpt som inte delegerades, till exempel att lägga till ett team eller något annat, ser vi att ett meddelande visas som indikerar att vi av säkerhetsskäl inte kan skapa objektet.
4. Kontrollera behörigheterna för den skapade gruppen
Vi kan komma åt Windows Server 2016 igen med administratörsanvändaren och vi går till Active Directory -användare och datorer, där måste vi gå till menyn Visa och välja alternativet Avancerade funktioner. Där högerklickar vi på organisationsenheten Behörigheter och vi kan se att Solvetic -gruppen har särskilda behörigheter.
Om vi trycker på knappen Avancerade alternativ kommer vi att kunna se de behörigheter som vi har skapat under delegeringsprocessen.
Som vi ser Med hjälp av delegering av kontroll i Windows Server 2016 kan vi tilldela specifika uppgif.webpter utan att utsätta säkerheten och integriteten för servern och domänen i fara..
Något viktigt som vi måste komma ihåg är att med delegering av kontroll kan vi bara tilldela behörigheter men inte begränsa eller ändra behörigheter till specifika användare. Låt oss använda detta intressanta verktyg i våra organisationer för att undvika att lägga till användare som kräver någon form av behörighet till gruppen Administratörer.
Här är en handledning som kan vara av intresse för dig:
Hantera AD i Windows Server 2016
