Làm cách nào để quản lý Windows như Linux / Unix: quyền quản trị theo tư cách thành viên nhóm mà không gặp sự cố và không chia sẻ mật khẩu Quản trị viên?

Tôi đang thực hiện một số thay đổi cơ bản cho môi trường Windows Server 2003/2008. Về phía Unix, các ràng buộc bảo mật của tôi rất đơn giản:

1. Người dùng nên có quyền quản trị viên nằm trong một nhóm đặc biệt ("bánh xe" hoặc tương tự).
2. Khi những người dùng đó đăng nhập vào các máy đó, họ vẫn không có quyền quản trị viên, cho đến khi họ thực thi một lệnh rõ ràng với các quyền quản trị đó ("lệnh sudo" hoặc "su").
3. Ngay cả khi họ thực thi lệnh bằng "su" (giống như "runas"), họ vẫn cần nhập mật khẩu: của riêng họ.

Trong hệ thống này, tôi có thể kiểm soát ai có đặc quyền quản trị viên (theo thành viên nhóm), ngăn họ vô tình thực hiện điều gì đó với quyền quản trị viên một cách tình cờ (bằng cách yêu cầu "su" hoặc "sudo") và không bao giờ tiết lộ "Quản trị viên" cốt lõi "root") mật khẩu, vì chúng được yêu cầu riêng.

Làm cách nào để thực hiện tương đương trên Windows Server? Các tùy chọn như tôi thấy là:

1. Thêm người dùng vào tài khoản quản trị viên cục bộ: Nhưng sau đó, mọi thứ họ làm là quản trị viên, có nguy cơ xảy ra lỗi.
2. Yêu cầu họ làm "Quản trị viên runas": Nhưng sau đó họ phải biết mật khẩu Quản trị viên mà tôi không muốn chia sẻ xung quanh.

Có giải pháp nào trong đó tôi có thể đồng thời: kiểm soát ai có quyền truy cập theo thành viên nhóm; ngăn không cho chúng vô tình làm hỏng mọi thứ bằng cách yêu cầu mật khẩu riêng; ngăn họ biết mật khẩu Quản trị viên?

Trước hết, chỉ quản trị viên mới có quyền truy cập quản trị viên trừ khi có lý do LỚN (tôi không thể nghĩ ra lý do chính đáng) họ cần, sau đó nên để lại cho quản trị viên; hiếm khi có một người dùng thông thường nhận được quyền riêng tư của quản trị viên và thậm chí sau đó tôi thường hoài nghi về lý do tại sao họ cần nó.

Thứ hai, bạn có thể thực hiện những gì bạn muốn làm bằng cách sử dụng Tư cách thành viên nhóm trong Windows. Bạn không nói rằng bạn đang sử dụng Active Directory nên tôi không chắc bạn có tên miền hay không, nhưng bạn có thể tạo Nhóm bảo mật và thêm tài khoản người dùng cá nhân vào chúng. Xem ở đây. Tôi sẽ không thêm người dùng vào nhóm quản trị viên cục bộ trên máy chủ vì điều này sẽ trở nên lộn xộn và khó theo dõi, và điều này sẽ gây ra nhiều vấn đề đau đầu cho bạn và các vấn đề bảo mật tiềm ẩn. Những gì tôi sẽ làm, như đã đề cập ở trên, là tạo Nhóm bảo mật và thêm các thành viên mà bạn muốn có quyền truy cập quản trị viên vào nhóm này. Bạn sẽ tạo hai tài khoản người dùng cho người dùng của mình; một để đăng nhập thường xuyên, và sau đó là tài khoản thứ 2 chỉ được sử dụng cho các hành động nâng cao. Bạn sẽ thêm tài khoản "cao hơn / đặc quyền" của người dùng vào Nhóm bảo mật, sau đó, bạn có thể đặt nhóm này vào tư cách thành viên nhóm địa phương nâng cao trên máy chủ thực tế, ví dụ như Power Users. Điều này sẽ cho phép họ thực hiện rất nhiều chức năng mà không cần quản trị viên.

Theo như Run As Administrator, bạn không cần phải làm điều đó mọi lúc. Cách tốt nhất để mọi người chạy mọi thứ mà không cần biết Quản trị viên hoặc bất kỳ quản trị viên nào, mật khẩu là sử dụng Shift + Nhấp chuột phải và sau đó chọn Chạy với tư cách người dùng khác hoặc Nhấp chuột phải và Chạy với tư cách Quản trị viên. Trước tiên, bạn muốn tạo một người dùng riêng cho họ có quyền cao hơn hoặc quyền nâng cao như đã đề cập ở trên (người dùng nâng cao này sẽ được thêm lại vào Nhóm bảo mật như đã đề cập ở trên) vì khi đó người dùng này có thể được sử dụng để chạy những thứ mà yêu cầu độ cao trong khi đăng nhập bằng tài khoản người dùng bình thường / tiêu chuẩn. Xem ảnh chụp màn hình của tôi:

Điều đó sẽ quan tâm đến những gì bạn muốn làm cho đến khi chạy mọi thứ như quản trị viên. Một lưu ý cuối cùng tôi có thể thêm là tiếp tục bật UAC. Nếu bạn làm điều này, người dùng sẽ được yêu cầu nhập mật khẩu (nâng cao) của họ và không phải mật khẩu quản trị viên cho những việc họ làm trên máy chủ. Đó là một nỗi đau khi bạn phải gõ nó rất nhiều, nhưng để bảo mật thì nó đáng giá.

Để lại tài khoản tiêu chuẩn của họ là "tiêu chuẩn". Tạo cho họ một tài khoản thứ hai đặc quyền và thêm nó vào các nhóm Quản trị khác nhau. Sử dụng 'runas' với tài khoản đặc quyền. (Bạn có thể thấy hữu ích khi tắt đăng nhập tương tác với tài khoản quản trị viên, nhưng sau đó một lần nữa - điều này có thể sẽ gây khó chịu).

Trong Server 2003, bạn cần sử dụng Run As...tùy chọn để chạy như một tài khoản có quyền quản trị.

Với Server 2008+, bạn sử dụng UAC và / hoặc Run as Administratortùy chọn bạn đề xuất. Điều này không đòi hỏi phải biết mật khẩu để các [địa phương] tài khoản quản trị - bất kỳ thông tin quản trị sẽ làm.

Vì vậy, bạn sẽ thêm tài khoản của họ vào các nhóm hành chính địa phương hoặc tốt hơn là từ quan điểm bảo mật, tạo các tài khoản quản trị riêng biệt và thêm chúng vào các nhóm hành chính địa phương. Sau đó, khi họ cần chạy thứ gì đó có đặc quyền quản trị, UAC sẽ nhắc nhập thông tin quản trị và / hoặc họ sẽ sử dụng tùy chọn Run As.../ Run as Administrator.