Čo je oddelenie správnej rolí v serveri Window Server 2008?

Oddelenie správnej rolí v systéme Windows Server 2008 nie je formálne definovaná funkcia so špecifickým názvom, ako je „Admin Road Separation“. Namiesto toho sa týka * najlepších postupov * pri oddelení administratívnych úloh a privilégií na zlepšenie bezpečnosti. Samotný systém Windows Server 2008 toto oddelenie neoddelil; Je to stratégia, ktorú implementujete pomocou vstavaných nástrojov.

Základnou myšlienkou je vyhnúť sa tomu, aby ste akémukoľvek jednotlivému účtu alebo používateľovi poskytli celý rad oprávnení správcu. Namiesto toho rozdelíte administratívne povinnosti na menšie, konkrétnejšie úlohy:

* Doménové administráty: Tieto účty majú takmer celkovú kontrolu nad celú doménu. Mala by to byť veľmi obmedzená skupina vysoko dôveryhodných jednotlivcov.

* Enterprise Admins: Táto skupina má najvyššiu úroveň privilégií v lese Active Directory. Jeho členovia môžu spravovať všetky domény v lese. Prístup by mal byť mimoriadne obmedzený.

* správcovia servera: Účty s administratívnymi oprávneniami špecifickými pre jeden server. Tieto by sa mohli použiť na správu aplikácií, služieb alebo iných aspektov servera bez poskytnutia prístupu k celej doméne.

* Konkrétne správcovia aplikácií: Pre úlohy, ako je správa databázového servera alebo webového servera, môžete vytvoriť samostatné používateľské účty, ktoré majú iba oprávnenia potrebné pre tieto aplikácie.

Výhody tohto oddelenia zahŕňajú:

* Znížený povrch útoku: Ak je ohrozený jeden účet, škoda je obmedzená na úlohy, ktoré môže účet vykonávať. Účet administrátorov s ohrozeným doménom je omnoho zničujúci ako ohrozený účet s prístupom iba k jednému aplikačnému serveru.

* Vylepšená zodpovednosť: Je ľahšie sledovať, kto vykonal, čo zmeny, keď správcovia jasne definovali úlohy a zodpovednosti.

* Princíp najmenších privilégií: Každý používateľ alebo služba má iba minimálne povolenia potrebné na vykonávanie svojich úloh.

Ako implementovať oddelenie rolí v systéme Windows Server 2008:

Dosiahnete to predovšetkým prostredníctvom:

* Vytváranie konkrétnych používateľských účtov a skupín: Namiesto použitia vstavaného účtu administrátora pre všetko vytvorte mnoho menších a zameraných účtov.

* pomocou skupinovej politiky: Prideliť konkrétne práva a povolenia k týmto účtom a skupinám.

* Delegácia kontroly: Používanie funkcií delegácie spoločnosti Active Directory na udelenie potrebných privilégií konkrétnym používateľom alebo skupinám na správu konkrétnych zdrojov.

* Používanie rôznych účtov Service: Spúšťanie služieb podľa účtov, ktoré majú minimálne privilégiá.

Stručne povedané, „oddelenie správnej rolí“ v systéme Windows Server 2008 nie je jedinečná funkcia, ale bezpečnostná stratégia implementovaná prostredníctvom starostlivého riadenia používateľských účtov, skupinovej politiky a dodržiavania princípu najmenších privilégií. Je to zásadný aspekt zabezpečenia prostredia Windows Server 2008.

• Predchádzajúca strana: Ako vidíte, že je to Licescent v našom systéme Windows 8 alebo nie? 
• Ďalšia strana: Súbor je potrebný na inštaláciu bez dozoru prostredníctvom služieb nasadenia systému Windows?