Η βασική ιδέα είναι να αποφύγετε να δώσετε σε οποιονδήποτε λογαριασμό ή χρήστη το πλήρες φάσμα των προνομίων διαχειριστή. Αντ 'αυτού, καταρρίπτετε τις διοικητικές ευθύνες σε μικρότερους, πιο συγκεκριμένους ρόλους:
* Διευθυντές τομέα: Αυτοί οι λογαριασμοί έχουν σχεδόν συνολικό έλεγχο σε ολόκληρο τον τομέα. Αυτό θα πρέπει να είναι μια πολύ περιορισμένη ομάδα ιδιαίτερα αξιόπιστων ατόμων.
* Επιχειρηματικοί διαχειριστές: Αυτή η ομάδα έχει το υψηλότερο επίπεδο προνομίων σε ένα δάσος Active Directory. Τα μέλη του μπορούν να διαχειριστούν όλους τους τομείς στο δάσος. Η πρόσβαση πρέπει να είναι εξαιρετικά περιορισμένη.
* Διαχειριστές διακομιστή: Λογαριασμοί με διοικητικά προνόμια ειδικά για έναν μόνο διακομιστή. Αυτά θα μπορούσαν να χρησιμοποιηθούν για τη διαχείριση εφαρμογών, υπηρεσιών ή άλλων πτυχών ενός διακομιστή χωρίς να χορηγούν πρόσβαση σε επίπεδο τομέα.
* Ειδικοί διαχειριστές εφαρμογών: Για εργασίες όπως η διαχείριση ενός διακομιστή βάσης δεδομένων ή διακομιστή ιστού, μπορείτε να δημιουργήσετε ξεχωριστούς λογαριασμούς χρηστών που έχουν μόνο τα προνόμια που απαιτούνται για αυτές τις εφαρμογές.
Τα οφέλη αυτού του διαχωρισμού περιλαμβάνουν:
* Μειωμένη επιφάνεια επίθεσης: Εάν ένας λογαριασμός διακυβεύεται, η ζημιά περιορίζεται στις εργασίες που μπορεί να εκτελέσει ο λογαριασμός. Ένας συμβιβασμένος λογαριασμός διαχειριστή τομέα είναι πολύ πιο καταστροφικός από έναν συμβιβασμένο λογαριασμό μόνο σε έναν μόνο διακομιστή εφαρμογών.
* Βελτιωμένη λογοδοσία: Είναι ευκολότερο να παρακολουθείτε ποιος έκανε τις αλλαγές όταν οι διαχειριστές έχουν καθοριστεί σαφώς ρόλους και ευθύνες.
* Αρχή του ελάχιστου προνομίου: Κάθε χρήστης ή υπηρεσία έχει μόνο τα ελάχιστα δικαιώματα που απαιτούνται για την εκτέλεση των καθηκόντων του.
Πώς να εφαρμόσετε τον διαχωρισμό ρόλων στο Windows Server 2008:
Το επιτυγχάνετε κυρίως μέσω:
* Δημιουργία συγκεκριμένων λογαριασμών και ομάδων χρήστη: Αντί να χρησιμοποιείτε τον ενσωματωμένο λογαριασμό διαχειριστή για τα πάντα, δημιουργήστε πολλούς μικρότερους, πιο εστιασμένους λογαριασμούς.
* Χρήση πολιτικής ομάδας: Για την εκχώρηση συγκεκριμένων δικαιωμάτων και δικαιωμάτων σε αυτούς τους λογαριασμούς και τις ομάδες.
* Αντιπροσωπεία ελέγχου: Χρησιμοποιώντας τα χαρακτηριστικά αντιπροσωπείας της Active Directory για να χορηγήσουν μόνο τα απαραίτητα προνόμια σε συγκεκριμένους χρήστες ή ομάδες για τη διαχείριση συγκεκριμένων πόρων.
* Χρήση διαφορετικών λογαριασμών υπηρεσιών: Εκτέλεση υπηρεσιών υπό λογαριασμούς που διαθέτουν ελάχιστα προνόμια.
Συνοπτικά, ο "διαχωρισμός ρόλων του διαχειριστή" στο Windows Server 2008 δεν είναι ένα μοναδικό χαρακτηριστικό, αλλά μια στρατηγική ασφαλείας που εφαρμόζεται μέσω της προσεκτικής διαχείρισης λογαριασμών χρηστών, της πολιτικής ομάδας και της προσκόλλησης στην αρχή του ελάχιστου προνομίου. Είναι μια κρίσιμη πτυχή της εξασφάλισης ενός περιβάλλοντος Windows Server 2008.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα