Wie verwalte ich Windows wie Linux / Unix: Administratorrechte nach Gruppenmitgliedschaft ohne Unfälle und ohne Freigabe des Administratorkennworts?

8

Ich nehme einige grundlegende Änderungen an einer Windows Server 2003/2008-Umgebung vor. Auf der Unix-Seite sind meine Sicherheitsbeschränkungen einfach:

  1. Benutzer, die über Administratorrechte verfügen sollten, gehören einer speziellen Gruppe an ("Rad" oder ähnliches).
  2. Wenn sich diese Benutzer auf diesen Computern anmelden, haben sie immer noch keine Administratorrechte, bis sie explizit einen Befehl mit diesen Administratorrechten ausführen ("sudo command" oder "su").
  3. Selbst wenn sie den Befehl mit "su" ausführen (ähnlich wie "runas"), müssen sie dennoch ein Passwort eingeben: ihr eigenes.

In diesem System kann ich steuern, wer über Administratorrechte verfügt (durch Gruppenmitgliedschaft), verhindern, dass diese versehentlich etwas mit Administratorrechten ausführen (indem sie "su" oder "sudo" benötigen), und niemals einen zentralen "Administrator" (dh) offenlegen "root") Passwort, da sie nach ihrem eigenen gefragt werden.

Wie mache ich das Äquivalent unter Windows Server? Die Optionen, wie ich es sehe, sind:

  1. Benutzer zum lokalen Administratorkonto hinzufügen: Aber alles , was sie tun, ist als Administrator, was zu Fehlern führen kann.
  2. Fordern Sie sie auf, "runas Administrator" auszuführen: Aber dann müssen sie das Administratorkennwort kennen, das ich nicht weitergeben möchte.

Gibt es eine Lösung, bei der ich gleichzeitig steuern kann: Wer hat Zugriff durch Gruppenmitgliedschaft? Verhindern Sie, dass sie versehentlich Schaden anrichten, indem Sie ein separates Passwort benötigen. verhindern, dass sie jemals das Administratorkennwort kennen?

windows windows-server-2008 windows-server-2003 Gottheit
quelle

Antworten:

8

Zunächst sollten nur Administratoren Administratorzugriff erhalten. Wenn es also keinen RIESIGEN Grund gibt (ich kann mir keinen guten vorstellen), den sie benötigen, sollte dies den Administratoren überlassen bleiben. Es gibt seltene Fälle, in denen ein normaler Benutzer Administratorrechte erhält, und selbst dann bin ich normalerweise skeptisch, warum er diese benötigt.

Zweitens können Sie mithilfe der Gruppenmitgliedschaft in Windows das erreichen, was Sie tun möchten. Sie haben nicht gesagt, dass Sie Active Directory verwenden, daher bin ich mir nicht sicher, ob Sie eine Domäne haben und dies tun, aber Sie können Sicherheitsgruppen erstellen und ihnen einzelne Benutzerkonten hinzufügen. Siehe hier. Ich würde Benutzer nicht einzeln zur lokalen Administratorgruppe auf dem Server hinzufügen, da dies unübersichtlich und schwer zu verfolgen ist und Ihnen viel Kopfschmerzen und potenzielle Sicherheitsprobleme bereitet. Wie oben erwähnt, würde ich eine Sicherheitsgruppe erstellen und die Mitglieder hinzufügen, auf die Sie Administratorzugriff haben möchten. Sie würden zwei Benutzerkonten für Ihre Benutzer erstellen. eine für die reguläre Anmeldung und dann ein zweites Konto, das nur für erhöhte Aktionen verwendet wurde. Sie würden das Benutzerkonto "höher / privilegiert" zur Sicherheitsgruppe hinzufügen und diese Gruppe dann in eine erhöhte lokale Gruppenmitgliedschaft auf dem tatsächlichen Server einfügen, z. B. Hauptbenutzer. Auf diese Weise können sie viele Funktionen ausführen, ohne Administratoren zu sein.

Was Run As Administrator betrifft, müssen Sie dies nicht immer tun. Der beste Weg, um Benutzer Dinge ausführen zu lassen, ohne den Administrator oder ein Administratorkennwort zu kennen, besteht darin, Umschalt + Rechtsklick zu verwenden und dann Als anderen Benutzer ausführen oder Rechtsklick und Als Administrator ausführen auszuwählen. Sie möchten zuerst einen separaten Benutzer für sie erstellen, der über höhere Rechte oder erhöhte Rechte wie oben erwähnt verfügt (dieser erhöhte Benutzer wird wie oben erwähnt erneut zur Sicherheitsgruppe hinzugefügt), da dieser Benutzer dann zum Ausführen von Dingen verwendet werden kann, die Während der Anmeldung mit einem normalen / Standardbenutzerkonto ist eine Erhöhung erforderlich. Siehe meinen Screenshot:

Geben Sie hier die Bildbeschreibung ein

Das sollte sich darum kümmern, was Sie tun möchten, um Dinge als Administrator auszuführen. Ein letzter Hinweis, den ich hinzufügen könnte, ist, die Benutzerkontensteuerung beizubehalten. In diesem Fall müssen die Benutzer ihr (erhöhtes) Kennwort und kein Administratorkennwort für die auf dem Server ausgeführten Aufgaben eingeben. Es ist ein Schmerz, wenn man es viel eingeben muss, aber aus Sicherheitsgründen lohnt es sich.

Brad Bouchard
quelle
Dies ist genau das, was die anderen 2 vorgeschlagen haben. Sie haben Recht, wir führen AD aus und fügen sie einer Server-Administratorgruppe hinzu, die über lokale Administratorrechte verfügt.
Gottheit
RE: Run as AdministratorAlle administrativen Anmeldeinformationen reichen aus. Wenn das Konto, bei dem Sie angemeldet sind, keine Administratoranmeldeinformationen hat, werden Sie zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert und können dort ein Administratorkonto eingeben. Ihr Beitrag macht dies nicht wirklich klar.
HopelessN00b
Und in diesem Fall, ich bin im Gespräch über sysadmins. Es wird empfohlen, dass Systemadministratoren kein Kennwort für das Produktions- / Systemkonto haben, sondern nur die Dinge als eigenes Konto ausführen. Ich möchte dies auf Systemadministratoren ausweiten.
Gottheit
1
@deitch Yup, genau das machen wir bei $ [dayjob]. Alle US-Mitarbeiter haben normale Benutzerkonten und Administratorkonten. Melden Sie sich als eingeschränkte Benutzer bei allem an und führen Sie die Run as AdministratorOption für alles aus, was erhöht werden muss. Benutzer lokaler Administratoren werden nur verwendet, wenn dies erforderlich ist (Domänenvertrauen ist gebrochen usw.)
HopelessN00b,
2
@ HopelessN00bGeniusofnetwork, also bedeutet RunAsAdministrator nicht "Als Administratorkonto ausführen", sondern "Als Konto ausführen, das über Administratorrechte verfügt, solange Sie Anmeldeinformationen für ein solches Konto angeben können"?
Gottheit
5

Lassen Sie ihr Standardkonto als "Standard". Erstellen Sie ihnen ein privilegiertes zweites Konto und fügen Sie dieses den verschiedenen Verwaltungsgruppen hinzu. Verwenden Sie 'runas' mit dem privilegierten Konto. (Es kann nützlich sein, interaktive Anmeldungen mit dem Administratorkonto zu deaktivieren, aber andererseits wird dies wahrscheinlich ärgerlich.)

Sobrique
quelle
1
Ich verstehe es. Sie haben also zwei Konten: Sobrique und SobriqueA. SobriqueA kann sich nicht bei Systemen auf einer Konsole / Fernbedienung anmelden und kann nur Runas ausführen. SobriqueA ist Mitglied einer Gruppe mit Administratorrechten. Der Benutzer meldet sich als Sobrique an und führt dann "runas SobriqueA" aus, für das das SobriqueA-Kennwort erforderlich ist. Alle diese Befehle werden mit vollständigen Administratorrechten ausgeführt. Es ist ein bisschen verworren, könnte aber schlimmer sein.
Gottheit
2
Das ist richtig.
Brad Bouchard
1
+1 für die Adressierung deaktivieren interaktive Anmeldungen. Andernfalls würden sich Benutzer nur mit den Administratoranmeldeinformationen anmelden und sich über jede Aktion als Administrator Sorgen machen.
Byron C.
4

In Server 2003 müssen Sie die Run As...Option verwenden, um als Konto mit Administratorrechten ausgeführt zu werden.

Mit Server 2008+ verwenden Sie die Benutzerkontensteuerung und / oder die von Run as AdministratorIhnen vorgeschlagene Option. Dies erfordert keine Kenntnis des Kennworts für das [lokale] Administratorkonto - alle administrativen Anmeldeinformationen reichen aus.

Sie würden also ihre Konten zu den lokalen Verwaltungsgruppen hinzufügen oder aus Sicherheitsgründen separate Verwaltungskonten erstellen und sie den lokalen Verwaltungsgruppen hinzufügen. Wenn sie dann etwas mit Administratorrechten ausführen müssen, fordert die Benutzerkontensteuerung zur Eingabe von Administratoranmeldeinformationen auf und / oder sie verwenden die Option Run As.../ Run as Administrator.

HopelessN00b
quelle
Dies ist der Antwort von @ sobrique sehr ähnlich. Win denkt also, dass Konten entweder Administratorrechte haben oder nicht? Und es gibt kein Konzept von "Dieses Konto hat das Recht, Dinge als Administrator auszuführen, wenn es explizit fragt und erneut authentifiziert"?
Gottheit
1
Grundsätzlich nein. Windows verfügt über eine Reihe von Sicherheitsrechten - normalerweise werden diese Rechte einer Gruppe gewährt (weil jeder Benutzer böse ist). Die Mitgliedschaft in der Gruppe verleiht die Rechte. Es ist üblich, sich nur mit einem Administratorkonto anzumelden, weil es einfach ist - aber das bedeutet nicht, dass es richtig ist. Wir haben lokale Benutzerkonten und Domänenadministratorkonten, mit denen wir uns bei Verwaltungsservern anmelden (auf denen verschiedene Windows-Verwaltungstools installiert sind).
Sobrique
Sie könnten mit 'secpol.msc' herumspielen und ein benutzerdefiniertes Rechteprofil konfigurieren - Zugriff auf eine Gruppe 'nicht genau Administratoren' gewähren und die grundlegenden Benutzerkonten hinzufügen. Aber Sie werden wahrscheinlich trotzdem über die Notwendigkeit eines "richtigen" Administratorkontos stolpern.
Sobrique
1
@deitch Nun, genau das ist / erlaubt UAC. Sie können es als Administratorkonto ausführen, werden jedoch zu allem aufgefordert, was eine "Erhöhung" erfordert. (Split-Token-Authentifizierung.) Es ist technisch gesehen keine Frage von Windows, eine Dichotomie "Administrator oder nicht Administrator" zu erstellen, aber das Ausführen von etwas als Administrator ist eine so häufige Funktion, dass es eine bestimmte Menüoption erhält. In den meisten Fällen ist diese Option nicht unbedingt erforderlich (Sie können immer nur als ein anderer Benutzer ausgeführt werden, der zufällig Administrator ist), aber es ist nur bequemer, diese Menüoption dort zu haben.
HopelessN00b
1
Nun, John muss immer noch die Anmeldeinformationen für ein Administratorkonto kennen, um etwas als Administrator ausführen zu können - es muss einfach nicht das Administratorkonto sein.
HopelessN00b