Један од најважнијих, али истовремено и пажљивих аспеката у серверском окружењу је дефинисање ко може приступити серверу и које привилегије могу имати у систему од све промене које нису потребне или одобрене могу довести у опасност читаву инфраструктуру организације.
Многи од нас као ИТ особље у нашим компанијама морали смо додијелити администраторске дозволе корисницима који не би требали бити у тој групи због чињенице да требају обавити неку врсту административног задатка, а као нормални корисници то није могуће.
Прави пример који знамо је да је било потребно додати корисника из групе система у земљи Боливији у групу администратора како би могла да створи кориснике у посебној организационој јединици, за шта је било потребно додати тог корисника у група Администраторс и изненађење Дошло је када је овај корисник елиминисао неку веома важну производну опрему, која је створила мали хаос у компанији.
Да бисте решили ове проблеме Виндовс Сервер укључује опцију делегирања администрације од одређених задатака до одређених корисника у одређеним ОУ, доменима или ГПО -овима.
1. Схватите делегирање администрације у Виндовс Сервер 2016
Многима би могло звучати хаотично и опасно додељивање административних улога корисницима који можда немају искуство или знање за управљање елементима Виндовс Сервера 2016 и, као што добро знамо, није могуће додати корисника у групу администратора и ограничавају задатке од. Ова група подразумевано даје целокупно управљање сервером.
Делегирањем администрације можемо указати на то да корисник без дубоког искуства може створити корисника у одређеној организационој јединици без утицаја на остатак система јер ће имати приступ само тамо где ми одредимо, а не и целом стаблу Виндовс Сервер 2016.
Административне дозволе могу се доделити кориснику или групи Садржи различите кориснике, али најважније је да нам је врло јасно које дозволе и коме их дајемо. За ову студију створили смо ОУ под називом Пермиссионс и створили смо групу која се зове Солветиц и корисника по имену Аццесс (корисник је укључен у групу Солветиц).
Пошто знамо да се сваки корисник не може одмах повезати на домен, морамо одобри приступ корисника том домену, за шта дајемо дозволу кориснику Приступ да бисте се повезали са доменом.
Морамо да успоставимо ову дозволу отворите уређивач ГПО смерница групе, да бисте то урадили, притисните дугме за држање Виндовс + Р Чини се да ће моћи да унесе наредбу за извршавање, откуцајте:
гпедит.мсцотићи ћете на следећу руту:
- Локалне рачунарске политике
- Конфигурација опреме
- Подешавања оперативног система Виндовс
- Безбедносне поставке
- Локалне директиве
- Уступање права
И тамо изаберите опцију Дозволите локално пријављивање. Овим ће се ова група или изабрани корисник моћи локално пријавити на рачунар или сервер како би могли извршавати одређене задатке.
Овде једноставно додајемо групу Солветиц тако да се корисник Аццесс -а може пријавити.
2. Имплементирајте делегирање администрације у Виндовс Сервер 2016
Након што смо додали корисника како би се могао пријавити, започет ћемо процес делегирања наведеном кориснику, у овом случају Аццессу, додијелит ћемо му дозволе за организацијску јединицу Дозволе. За ово ћемо дати Десним тастером миша кликните на организациону јединицу Дозволе и изаберите опцију Контрола делегата.
Видимо да се приказује чаробњак за делегирање контроле. Кликнемо Даље.
Затим морамо додати Солветиц групу коју смо креирали, за то кликнемо на дугме Адд и потражимо групу.
Поново кликнемо Даље и видимо да постоје различити задаци који се могу делегирати кориснику, као што су:
- Направите, уредите или избришите групе
- Креирајте, уређујте или бришите кориснике
- Измените чланство у групи
- Управљајте групним смерницама
У овом случају Изабраћемо опције Креирање, брисање и управљање групама и Креирање, брисање и управљање корисничким налозима одабиром одговарајућих поља.
Кликнемо Даље и видимо да смо завршили потребну конфигурацију.
Притисните Финисх да изађете из чаробњака.
3. Потврдите делегирање контроле
Затим ћемо се пријавити са корисником Аццесс у Виндовс Сервер 2016.
ЕНЛАРГЕ
Након што смо се пријавили, покушаћемо да створимо корисника у организационој јединици Дозволе како бисмо потврдили да можемо да створимо корисника.
ЕНЛАРГЕ
Креираћемо корисника по имену Солветиц1. Такође ћемо створити групу која се зове Тестови (запамтите да је приступном кориснику додељена контрола за креирање, уређивање или брисање корисника и група).
Ако покушамо да извршимо задатак који није делегиран, на пример додавањем тима или било ког другог, видећемо да се приказује порука која указује да из безбедносних разлога не можемо да направимо објекат.
4. Проверите дозволе креиране групе
Можемо поново да приступимо Виндовс Сервер 2016 са администраторским корисником и одемо на Корисници и рачунари активног именика, тамо морамо да одемо у мени Приказ и изаберемо опцију Напредне функције. Тамо кликните десним тастером миша на организациону јединицу Дозволе и видимо да група Солветиц има посебне дозволе.
Ако притиснемо дугме Напредне опције, моћи ћемо да видимо дозволе које смо створили током процеса делегирања.
Као што видимо Коришћењем делегирања контроле у систему Виндовс Сервер 2016 можемо доделити одређене задатке без угрожавања безбедности и интегритета сервера и домена..
Нешто важно што морамо имати на уму је да коришћењем делегирања контроле можемо само доделити дозволе, али не и ограничити или изменити дозволе одређеним корисницима. Искористимо овај занимљив алат у нашим организацијама како бисмо избјегли додавање било ког корисника коме је потребна нека врста дозволе у групу администратора.
Ево водича који би вам могао бити занимљив:
Управљајте огласом у оперативном систему Виндовс Сервер 2016
