web-dev-qa-db-ja.com

Linux / UnixのようなWindowsを管理するにはどうすればよいですか:グループメンバーシップによる管理者権限を、事故や管理者パスワードの共有なしに管理できますか?

Windows Server2003/2008環境にいくつかの基本的な変更を加えています。 Unix側では、私のセキュリティ制約は単純です。

  1. 管理者権限が必要なユーザーは、特別なグループ(「ホイール」など)に属します。
  2. これらのユーザーがこれらのマシンにログオンしても、それらの管理者権限でコマンド( "Sudo command"または "su")を明示的に実行するまで、管理者権限はありません。
  3. 「su」(「runas」のようなもの)を使用してコマンドを実行する場合でも、自分のパスワードを入力する必要があります。

このシステムでは、管理者権限を持つユーザーを(グループメンバーシップによって)制御し、誤って管理者権限を持つものを誤って実行することを防ぎ(「su」または「Sudo」を要求することにより)、コアの「管理者」(つまり、 「root」)パスワード。自分で要求されるため。

Windows Serverで同等の方法を実行するにはどうすればよいですか?私が見ているオプションは次のとおりです。

  1. ローカル管理者アカウントにユーザーを追加します。しかし、すべて彼らは管理者として行い、エラーのリスクがあります。
  2. 「runasAdministrator」を実行するように要求します。ただし、管理者パスワードを知っている必要があります。これは、私が共有したくないものです。

私が同時にできる解決策はありますか:グループメンバーシップによって誰がアクセスできるかを制御します。別のパスワードを要求することにより、誤って損害を与えることを防ぎます。管理者パスワードを知らないようにしますか?

8
deitch

まず、管理者のみが管理者アクセス権を取得する必要があるため、管理者が必要とする大きな(良い理由は考えられません)理由がない限り、管理者に任せる必要があります。通常のユーザーが管理者権限を取得することはまれですが、それでも私は通常、なぜそれが必要なのかについて懐疑的です。

次に、Windowsのグループメンバーシップを使用して、やりたいことを実行できます。 Active Directoryを使用しているとは言わなかったので、ドメインを持っているかどうかはわかりませんが、セキュリティグループを作成して、個々のユーザーアカウントを追加することはできます。 ここを参照してください。 サーバーのローカル管理者グループにユーザーを個別に追加することはしません。これは面倒になり、将来を追跡するのが難しくなり、多くの頭痛の種になります。あなたと潜在的なセキュリティ問題のために。前述のように、セキュリティグループを作成し、このグループへの管理者アクセス権を付与するメンバーを追加します。ユーザー用に2つのユーザーアカウントを作成します。 1つは通常のログイン用で、2つ目は昇格されたアクションにのみ使用されたアカウントです。ユーザーの「上位/特権」アカウントをセキュリティグループに追加すると、このグループを実際のサーバーの昇格されたローカルグループメンバーシップに配置できます(たとえば、パワーユーザー)。これにより、管理者でなくても多くの機能を実行できるようになります。グループにローカル管理者アクセスが必要な場合があります。その時点で、サーバー上のそのローカル管理者グループにグループを配置できます。

管理者として実行する限り、常にそれを行う必要はありません。管理者または管理者のパスワードを知らなくてもユーザーに実行させるための最良の方法は、Shiftキーを押しながら右クリックして[別のユーザーとして実行]を選択するか、右クリックして[管理者として実行]を選択することです。最初に、上記のように、より高い権限または昇格された権限を持つ別のユーザーを作成する必要があります(この昇格されたユーザーは、上記のようにセキュリティグループに再度追加されます)。その後、このユーザーを使用して、通常/標準のユーザーアカウントでログインしている間は、昇格が必要です。私のスクリーンショットを参照してください:

enter image description here

これで、管理者として実行する限り、やりたいことが処理されます。最後に、UACをオンにしておくことをお勧めします。これを行うと、ユーザーはサーバー上で行うことの管理者パスワードではなく、(昇格された)パスワードを入力する必要があります。たくさん入力しなければならないのは面倒ですが、セキュリティのためにはそれだけの価値があります。

8
Brad Bouchard

標準アカウントは「標準」のままにします。それらに特権のある2番目のアカウントを作成し、それをさまざまな管理グループに追加します。特権アカウントで「runas」を使用します。 (管理者アカウントでインタラクティブログオンを無効にすると便利な場合がありますが、これも面倒になる可能性があります)。

5
Sobrique

Server 2003では、管理者権限を持つアカウントとして実行するには、Run As...オプションを使用する必要があります。

Server 2008+では、 ACを使用 、および/または提案したRun as Administratorオプション。これには、the[ローカル]管理者アカウントのパスワードを知っている必要はありません。管理者の資格情報であれば何でもかまいません。

したがって、アカウントをローカル管理グループに追加するか、セキュリティの観点から、個別の管理アカウントを作成してローカル管理グループに追加します。次に、管理者権限で何かを実行する必要がある場合、UACは管理者の資格情報の入力を求めるか、Run As.../Run as Administratorオプションを使用します。

4
HopelessN00b