我如何像 Linux/Unix 一样管理 Windows:按组成员身份管理权限而不会发生意外且不共享管理员密码?
dei*_*tch 8 windows windows-server-2003 windows-server-2008
我正在对 Windows Server 2003 / 2008 环境进行一些根本性的更改。在 Unix 方面,我的安全限制很简单:
- 应该拥有管理员权限的用户属于一个特殊的组(“wheel”或类似的组)。
- 当这些用户登录到这些机器时,他们仍然没有管理员权限,直到他们明确执行具有这些管理员权限的命令(“sudo 命令”或“su”)。
- 即使他们确实使用“su”(有点像“runas”)执行命令,他们仍然需要输入密码:他们自己的。
在这个系统中,我可以控制谁拥有管理员权限(通过组成员身份),防止他们意外执行具有管理员权限的事情(通过要求“su”或“sudo”),并且永远不会泄露核心“管理员”(即“root”)密码,因为他们需要自己的密码。
如何在 Windows Server 上执行等效操作?我看到的选项是:
- 将用户添加到本地管理员帐户:但是他们所做的一切都是以管理员身份进行的,冒着错误的风险。
- 要求他们做“runas 管理员”:但是他们必须知道管理员密码,我不想在周围共享。
是否有任何解决方案,我可以同时:通过组成员身份控制谁有权访问;通过要求单独的密码来防止他们意外地做破坏性的事情;阻止他们知道管理员密码?
首先,只有管理员应该获得管理员访问权限,因此除非他们有一个巨大的(我想不出一个好的)理由需要它,否则它应该留给管理员;很少有普通用户获得管理员权限的情况,即便如此,我通常还是怀疑他们为什么需要它。
其次,您可以通过在 Windows 中使用 Group Membership 来完成您想要执行的操作。您没有说您使用的是 Active Directory,所以我不确定您是否有域并且正在这样做,但是您可以创建安全组并向其中添加个人用户帐户。 看这里。 我不会将用户单独添加到服务器上的本地管理员组,因为这会变得混乱并且难以跟踪,并且会给您带来很多麻烦和潜在的安全问题。如上所述,我会做的是创建一个安全组并添加您希望对该组具有管理员访问权限的成员。您将为您的用户创建两个用户帐户;一个用于常规登录,然后是仅用于提升操作的第二个帐户。您将用户“高级/特权”帐户添加到安全组中,然后,您可以将此组置于实际服务器上提升的本地组成员身份中,例如 Power Users。这将使他们无需成为管理员即可执行许多功能。
至于以管理员身份运行,您不必一直这样做。让人们在不知道管理员或任何管理员密码的情况下运行的最佳方法是使用 Shift+右键单击,然后选择以不同用户身份运行,或右键单击并以管理员身份运行。您首先要为他们创建一个单独的用户,该用户具有更高的权限或上述提升的权限(如上所述,此提升的用户将再次添加到安全组中),然后该用户可用于运行使用普通/标准用户帐户登录时需要一直提升。看我的截图:
就以管理员身份运行事物而言,这应该可以解决您想要做的事情。我可能要补充的最后一点是保持 UAC 开启。如果您这样做,用户将需要输入他们的(提升的)密码,而不是他们在服务器上所做的事情的管理员密码。当您必须输入大量内容时会很痛苦,但为了安全起见,这是值得的。
- @HopelessN00bGeniusofnetwork,所以 RunAsAdministrator 的意思不是“以管理员帐户运行”,而是“以具有管理员权限的任何帐户运行,只要您可以提供任何此类帐户的凭据”? (2认同)
将他们的标准帐户保留为“标准”。为他们创建一个特权的第二个帐户并将其添加到各种管理组。将“runas”与特权帐户一起使用。(您可能会发现禁用管理员帐户的交互式登录很有用,但话说回来 - 这可能会很烦人)。
- 那是正确的。 (2认同)
| 归档时间: |
|
| 查看次数: |
1515 次 |
| 最近记录: |