Einer der wichtigsten und gleichzeitig sorgfältigsten Aspekte in einer Serverumgebung besteht darin, zu definieren, wer auf den Server zugreifen kann und über welche Berechtigungen er im System verfügt, da jede nicht erforderliche oder genehmigte Änderung die gesamte Infrastruktur des Unternehmens gefährden kann .
Viele von uns als IT-Mitarbeiter in unseren Unternehmen mussten Benutzern, die nicht zu dieser Gruppe gehören sollten, Administratorrechte erteilen, da sie Verwaltungsaufgaben ausführen müssen und dies als normale Benutzer nicht möglich ist.
Ein bekanntes Beispiel ist, dass ein Benutzer der Systemgruppe im Land Bolivien zur Administratorengruppe hinzugefügt werden musste, um Benutzer für eine bestimmte Organisationseinheit zu erstellen, für die dieser Benutzer zur Administratorengruppe und zur Überraschung hinzugefügt werden musste Es traf ein, als dieser Benutzer einige sehr wichtige Produktionsanlagen beseitigte, die im Unternehmen ein wenig Chaos verursachten.
Um diese Probleme zu lösen, bietet Windows Server die Möglichkeit, die Verwaltung bestimmter Aufgaben an bestimmte Benutzer in bestimmten Organisationseinheiten, Domänen oder Gruppenrichtlinienobjekten zu delegieren .
1. Verstehen der Delegierung der Verwaltung in Windows Server 2016
Für viele mag es chaotisch und gefährlich klingen, Benutzern Verwaltungsrollen zuzuweisen, die nicht über die Erfahrung oder das Wissen verfügen, um die Elemente von Windows Server 2016 zu verwalten, und es ist bekanntlich nicht möglich, der Gruppe Administratoren einen Benutzer hinzuzufügen und Aufgaben auf diese zu beschränken, weil Standardmäßig gewährt diese Gruppe die gesamte Verwaltung auf dem Server.
Bei der Delegierung der Verwaltung können wir darauf hinweisen, dass ein Benutzer ohne umfassende Erfahrung einen Benutzer in einer bestimmten Organisationseinheit erstellen kann, ohne dass dies Auswirkungen auf den Rest des Systems hat, da er nur Zugriff auf den von uns festgelegten Bereich und nicht auf den gesamten Windows Server 2016- Baum hat.
Administrative Berechtigungen können einem Benutzer oder einer Gruppe mit verschiedenen Benutzern erteilt werden. Das Wichtigste ist jedoch, dass wir genau wissen, welche Berechtigungen wir welchen Benutzern gewähren. Für diese Studie haben wir eine Organisationseinheit mit dem Namen “Berechtigungen” und eine Gruppe mit dem Namen “TechnoWikis” sowie einen Benutzer mit dem Namen “Access” erstellt (der Benutzer wurde in die TechnoWikis-Gruppe aufgenommen).
Da wir wissen, dass ein Benutzer keine sofortige Verbindung zur Domäne herstellen kann, müssen wir den Zugriff dieses Benutzers auf die Domäne autorisieren , für die wir dem Benutzer die Berechtigung erteilen, auf die Domäne zuzugreifen .
Um diese Berechtigung einzurichten, müssen wir den Gruppenrichtlinien-Gruppenrichtlinien-Editor öffnen. Halten Sie hierzu die Windows + R-Taste gedrückt , um den Befehl zum Ausführen eingeben zu können. Schreiben Sie:
gpedit.msc
Sie werden zu der folgenden Route gehen:
- Lokale Teamanweisungen
- Gerätekonfiguration
- Windows-Konfiguration
- Sicherheitskonfiguration
- Lokale Richtlinien
- Abtretung von Rechten
Und dort wählen Sie die Option Allow local login . Damit kann diese Gruppe oder der ausgewählte Benutzer eine lokale Sitzung auf dem Computer oder Server einleiten, um bestimmte festgelegte Aufgaben auszuführen.
Hier fügen wir einfach die TechnoWikis-Gruppe hinzu, damit sich der Benutzer Access anmelden kann.
2. Stellen Sie die Verwaltungsdelegation in Windows Server 2016 bereit
Sobald wir den Benutzer hinzugefügt haben, damit er sich anmelden kann, beginnen wir mit dem Delegierungsprozess an den angegebenen Benutzer. In diesem Fall erteilen wir ihm Zugriffsberechtigungen für die Organisationseinheit Berechtigungen. Dazu klicken wir mit der rechten Maustaste auf die Organisationseinheit Berechtigungen und wählen die Option Steuerung delegieren aus .
Wir sehen, dass der Assistent für die Delegation der Kontrolle angezeigt wird. Wir drücken Weiter.
Als nächstes müssen wir die von uns erstellte TechnoWikis-Gruppe hinzufügen, dazu klicken wir auf die Schaltfläche Hinzufügen und suchen die Gruppe.
Klicken Sie erneut auf Weiter, und es werden verschiedene Aufgaben angezeigt, die an den Benutzer delegiert werden können, z.
- Gruppen erstellen, bearbeiten oder löschen
- Erstellen, bearbeiten oder löschen Sie Benutzer
- Ändern Sie die Besitztümer der Gruppen
- Gruppenrichtlinien verwalten
In diesem Fall wählen wir die Optionen Erstellen, Löschen und Verwalten von Gruppen und Erstellen, Löschen und Verwalten von Benutzerkonten aus, indem wir die entsprechenden Kästchen markieren.
Klicken Sie auf Weiter und wir können sehen, dass wir die erforderliche Konfiguration abgeschlossen haben.
Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.
3. Überprüfen Sie die Kontrolldelegation
Als nächstes starten wir die Sitzung mit dem Benutzer Access in Windows Server 2016.
Sobald wir uns angemeldet haben, werden wir versuchen, einen Benutzer in der Organisationseinheit Berechtigungen zu erstellen, um zu überprüfen, ob wir einen Benutzer erstellen können.
Wir werden einen Benutzer namens TechnoWikis1 erstellen. Wir werden auch eine Gruppe mit dem Namen Tests erstellen (denken Sie daran, dass dem Benutzerzugriff die Kontrolle zum Erstellen, Bearbeiten oder Löschen von Benutzern und Gruppen übertragen wurde).
Wenn wir versuchen, eine nicht delegierte Aufgabe auszuführen, z. B. ein Team oder eine andere Aufgabe hinzuzufügen, wird eine Meldung angezeigt, die besagt, dass wir das Objekt aus Sicherheitsgründen nicht erstellen können.
4. Überprüfen Sie die Berechtigungen der erstellten Gruppe
Wir können wieder mit dem Administrator auf Windows Server 2016 zugreifen und gehen zu Benutzer und Active Directory-Teams. Dort gehen wir zum Menü Ansicht und wählen die Option Erweiterte Funktionen. Dort klicken wir mit der rechten Maustaste auf die Organisationseinheit Berechtigungen und sehen, dass die TechnoWikis-Gruppe über spezielle Berechtigungen verfügt.
Wenn wir auf die Schaltfläche Erweitert klicken, werden die Berechtigungen angezeigt, die wir während des Delegierungsprozesses erstellt haben.
Wie wir anhand der Kontrolldelegation in Windows Server 2016 sehen, können wir bestimmte Aufgaben zuweisen, ohne die Sicherheit und Integrität des Servers und der Domäne zu gefährden .
Ein wichtiger Punkt, den wir berücksichtigen müssen, ist, dass wir mithilfe der Kontrolldelegation nur Berechtigungen zuweisen, aber Berechtigungen nicht auf bestimmte Benutzer beschränken oder ändern können. Verwenden wir dieses interessante Tool in unseren Organisationen, um zu vermeiden, dass Benutzer, die eine Berechtigung benötigen, zur Gruppe Administratoren hinzugefügt werden.
Hier hinterlassen wir ein Tutorial, das Sie interessieren könnte:
Verwalten Sie AD in Windows Server 2016