Bir sunucu ortamındaki en önemli ama aynı zamanda dikkatli yönlerden biri, sunucuya kimlerin erişebileceğini ve sistem içinde hangi ayrıcalıklara sahip olabileceklerini tanımlamaktır. gerekli olmayan veya onaylanmayan herhangi bir değişiklik, kuruluşun tüm altyapısını riske atabilir.
Şirketlerimizdeki BT personeli olarak birçoğumuz, bir tür idari görevi yerine getirmeleri gerektiğinden ve normal kullanıcılar olarak mümkün olmadığı için bu grupta olmaması gereken kullanıcılara yönetici izinleri vermek zorunda kaldık.
Bildiğimiz gerçek bir örnek, Bolivya ülkesindeki sistemler grubundan bir kullanıcının, söz konusu kullanıcının eklenmesi gereken özel bir organizasyon birimine kullanıcılar oluşturabilmesi için yöneticiler grubuna eklenmesi gerektiğidir. Yöneticiler grubu ve sürpriz Bu kullanıcı, şirkette biraz kaos yaratan çok önemli bazı üretim ekipmanlarını ortadan kaldırdığında geldi.
Bu sorunları çözmek için Windows Server, yönetimi devretme seçeneği içerir belirli OU'larda, Etki Alanlarında veya GPO'larda belirli görevlerden belirli kullanıcılara.
1. Windows Server 2016'da yönetim delegasyonunu anlama
Birçokları için, Windows Server 2016 öğelerini yönetmek için deneyim veya bilgiye sahip olmayan kullanıcılara yönetici rolleri atamak kaotik ve tehlikeli gelebilir ve bildiğimiz gibi, Yöneticiler grubuna bir kullanıcı eklemek mümkün değildir. ve görevleri kısıtla çünkü varsayılan olarak bu grup tüm yönetimi sunucu üzerinden verir.
Yönetime yetki vererek, derin deneyime sahip olmayan bir kullanıcının, sistemin geri kalanını etkilemeden belirli bir organizasyon biriminde bir kullanıcı oluşturabileceğini gösterebiliriz, çünkü bu kullanıcılar, tüm ağaç ağacına değil, yalnızca bizim belirlediğimiz yere erişime sahip olacaklardır. Windows Sunucusu 2016.
Bir kullanıcıya veya bir gruba yönetici izinleri verilebilir Farklı kullanıcılar içeriyor ama en önemli şey, hangi izinleri ve kime verdiğimiz konusunda çok net olmamız. Bu çalışma için Permissions adında bir OU oluşturduk ve Solvetic adında bir grup ve Access adında bir kullanıcı oluşturduk (kullanıcı Solvetic grubuna dahil edildi).
Herhangi bir kullanıcının etki alanına hemen bağlanamayacağını bildiğimiz için, o kullanıcının etki alanına erişimini yetkilendir, kullanıcıya izin verdiğimiz Erişim etki alanına bağlanmak için.
Bu izni oluşturmak için GPO Grup İlkesi düzenleyicisini açın, Bunu yapmak için tutma düğmesine basın pencereler + r yürütmek için komut girebilecek gibi görünecek, şunu yazın:
gpedit.mscaşağıdaki rotaya gideceksiniz:
- Yerel bilgisayar politikaları
- Ekipman Yapılandırması
- Windows Ayarları
- Güvenlik ayarları
- Yerel direktifler
- Hakların devri
Ve orada seçeneği seçin Yerel oturum açmaya izin ver. Bununla, bu grup veya seçilen kullanıcı, belirli belirli görevleri yerine getirebilmek için bilgisayarda veya sunucuda Yerel olarak oturum açabilecektir.
Burada, Access kullanıcısının oturum açabilmesi için Solvetic grubunu ekliyoruz.
2. Windows Server 2016'da Yönetim Temsilciliğini Uygulama
Kullanıcıyı oturum açabilmesi için ekledikten sonra, belirtilen kullanıcıya yetkilendirme işlemine başlayacağız, bu durumda Access, ona İzinler organizasyon biriminde izinler vereceğiz. Bunun için vereceğimiz İzinler kuruluş birimine sağ tıklayın ve Denetim Temsilcisi seçeneğini belirleyin.
Denetim delegasyonu sihirbazının görüntülendiğini görüyoruz. İleri'ye tıklıyoruz.
Daha sonra oluşturduğumuz Solvetic grubunu eklemeliyiz, bunun için Ekle butonuna tıklıyoruz ve grubu arıyoruz.
Tekrar İleri'ye tıklıyoruz ve kullanıcıya devredilebilecek farklı görevler olduğunu görüyoruz, örneğin:
- Gruplar oluşturun, düzenleyin veya silin
- Kullanıcı oluşturma, düzenleme veya silme
- Grup üyeliklerini değiştir
- Grup politikalarını yönet
Bu durumda Grup oluştur, sil ve yönet seçeneklerini ve Kullanıcı hesapları oluştur, sil ve yönet seçeneklerini seçeceğiz ilgili kutuları seçerek.
İleri'ye tıklıyoruz ve gerekli konfigürasyonu tamamladığımızı görebiliriz.
Sihirbazdan çıkmak için Bitir'e tıklayın.
3. Kontrol delegasyonunu doğrulayın
Ardından, Windows Server 2016'da Access kullanıcısı ile oturum açacağız.
BÜYÜT
Giriş yaptıktan sonra, bir kullanıcı oluşturabileceğimizi doğrulamak için İzinler organizasyon biriminde bir kullanıcı oluşturmaya çalışacağız.
BÜYÜT
Solvetic1 adında bir kullanıcı oluşturacağız. Ayrıca Testler adında bir grup oluşturacağız (kullanıcı ve grupları oluşturmak, düzenlemek veya silmek için erişim kullanıcısına yetki verildiğini unutmayın).
Örneğin, bir ekip veya başka bir şey eklemek gibi delege edilmemiş bir görevi gerçekleştirmeye çalışırsak, güvenlik nedeniyle nesneyi oluşturamadığımızı belirten bir mesaj görüntülendiğini göreceğiz.
4. Oluşturulan grubun izinlerini kontrol edin
Yönetici kullanıcı ile tekrar Windows Server 2016'ya erişebiliyoruz ve Active Directory Kullanıcıları ve Bilgisayarları'na gidiyoruz, orada Görünüm menüsüne gitmeli ve Gelişmiş Özellikler seçeneğini seçmeliyiz. Orada İzinler organizasyon birimine sağ tıklıyoruz ve Solvetic grubunun özel izinlere sahip olduğunu görebiliyoruz.
Gelişmiş Seçenekler düğmesine basarsak, yetkilendirme işlemi sırasında oluşturduğumuz izinleri görebiliriz.
Gördüğümüz gibi Windows Server 2016'da denetim delegasyonu kullanarak, sunucunun ve etki alanının güvenliğini ve bütünlüğünü riske atmadan belirli görevler atayabiliriz..
Akılda tutmamız gereken önemli bir şey, kontrol delegasyonu kullanarak yalnızca izinler atayabileceğimiz, ancak belirli kullanıcılara izinleri kısıtlayamayacağımız veya değiştiremeyeceğimizdir. Yöneticiler grubuna bir tür izin gerektiren herhangi bir kullanıcı eklemekten kaçınmak için bu ilginç aracı kuruluşlarımızda kullanalım.
İşte ilginizi çekebilecek bir eğitim:
AD'yi Windows Server 2016'da yönetin
