19 октября, пятница 10:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Распределение полномочий администраторов

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Распределение полномочий администраторов

    Возник вопрос о распределении ролей администраторов. В данный момент у всех одинаково полные права, но не всем они нужны. Например, кто-то больше админит инет, кто-то каспера кто-то ещё и т.д. Применительно к AD у всех должны быть права создать\грохнуть учётку простого пользователя или сменить у него пароль. А вот пароль админа домена чтобы никто кроме него самого сменить не мог. У кого как реализовано?

  • #2
    Сообщение от AlexIB Посмотреть сообщение
    Возник вопрос о распределении ролей администраторов. В данный момент у всех одинаково полные права, но не всем они нужны. Например, кто-то больше админит инет, кто-то каспера кто-то ещё и т.д. Применительно к AD у всех должны быть права создать\грохнуть учётку простого пользователя или сменить у него пароль. А вот пароль админа домена чтобы никто кроме него самого сменить не мог. У кого как реализовано?
    не факт что у всех должна быть возможность создать -грохнуть учетку "простого" пользователя))) - а о ком вообще идет речь- об администраторах ИТ или о сотрудниках ИБ?
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      не факт что у всех должна быть возможность создать -грохнуть учетку "простого" пользователя

      Ну если ещё и это будет разделено то я только ЗА... =)

      Комментарий


      • #4
        а о ком вообще идет речь- об администраторах ИТ или о сотрудниках ИБ

        У нас нет чёткого разграничения. У нас все относятся к ИТ (в т.ч. и администраторы ИБ)

        Комментарий


        • #5
          )лично я придерживаюсь "традиционных" взглядов на администрирование в AD
          1.Исходное состояние всех объектов в AD должно быть зафиксировано, и согласовано.
          2.Должны быть разработаны процедуры согласно которых исходное состояние AD может изменяться, и определены лица (роли) которым разрешено вносить изменения в AD.
          Только после этого появляется возможность "контролировать" состояние AD и может даже не потребуется распределять полномочия администраторов.
          Мы продолжаем делать то, что мы уже много наделали

          Комментарий


          • #6
            Ещё у кого какие варианты?

            Комментарий


            • #7
              вопрос стоит в том как можно реализовать "разделение" прав в AD?
              стандаратный набор прав MS server 2003 и WIN XP не позволяет гибкую настройку прав админа в AD - такую как редактирование прав объектов одним админом и подтверждение этих действий другим админом(у которого нет прав на редактирование) - однако есть уже утилита "Advanced Group Policy Management" которая позволяет такое разделение прав - хотя для ее использования, согласно лицензионным требованиям Мелкософта, необходимо с WIN XP переходить на Висту(((.
              Но эта (и подобные ) технологии все равно необходимо подкреплять нормативными документами (описанием процедур по изменению и поддтверждению учетных записей )
              Мы продолжаем делать то, что мы уже много наделали

              Комментарий


              • #8
                Сообщение от AlexIB Посмотреть сообщение
                Ещё у кого какие варианты?
                Вариант - стандартное делегирование прав управления объектами в AD.

                Комментарий


                • #9
                  Сообщение от SNAK Посмотреть сообщение
                  Вариант - стандартное делегирование прав управления объектами в AD.
                  И сразу возникает вопрос- что есть "стандартное" - (это группы и наборы прав по-умолчанию или еще какое?) и кому именно это делегируется?
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    Сообщение от George-on-Don Посмотреть сообщение
                    И сразу возникает вопрос- что есть "стандартное" - (это группы и наборы прав по-умолчанию или еще какое?) и кому именно это делегируется?
                    Да, мы можем разнести разные ресурсы по разным OU (например, в зависимости от отделов), и дать право администрирования разным людям... То же и с доменами (если их несколько). В 2008м сервере есть интересная новая фича - read only домен контроллер, позиционируется для установки в филиалах и отдельно расположенных территориях.

                    Комментарий


                    • #11
                      2 SNAK -согласен есть разные варианты, была бы фантазия))-респект) - но сперва ж наверно было некоторая схема -"описание" ?
                      А как у Вас все это документировано? Просто на уровне схем доменов, лесов, AD? Или есть полноценный регламент с описанием процедур по созданию, изменению объектов в AD?
                      Мы продолжаем делать то, что мы уже много наделали

                      Комментарий


                      • #12
                        Регламента нет, но обязательно будет.
                        Организационно - есть типовые роли в бизнес-процессе, на их базе заготовлены шаблоны, при приёме нового сотрудника руководитель подразделения пишет служебку, на базе какой роли (а в реальности - шаблона, но об этом он не догадвается ) будет создана новая учётная запись...

                        Комментарий


                        • #13
                          2 варианта:

                          1.
                          Администратор системы создаёт пользователя.
                          Администратор безопасности назначает ему права.

                          2.
                          Администратор безопаности согласует доступ сотрудника к ресурсу.
                          Администратор системы создаёт пользователя и назнает ему права.

                          По второму варианту обычно действуют, когда службы ИБ и ИТ не могут договориться между собой и ИТ не хочет делиться доступом.

                          Комментарий


                          • #14
                            Сообщение от Berckut Посмотреть сообщение
                            2 варианта:

                            1.
                            Администратор системы создаёт пользователя.
                            Администратор безопасности назначает ему права.

                            2.
                            Администратор безопаности согласует доступ сотрудника к ресурсу.
                            Администратор системы создаёт пользователя и назнает ему права.

                            По второму варианту обычно действуют, когда службы ИБ и ИТ не могут договориться между собой и ИТ не хочет делиться доступом.
                            Второй вариант - если нет возможности разделить права на реализацию первого варианта)))
                            Мы продолжаем делать то, что мы уже много наделали

                            Комментарий


                            • #15
                              Сообщение от Berckut Посмотреть сообщение
                              2 варианта:

                              1.
                              Администратор системы создаёт пользователя.
                              Администратор безопасности назначает ему права.
                              Ну, тут правильнее "администраторЫ систеМ":
                              1. сетевая учётная запись
                              2. учётная запись электронной почты
                              3. учётная запись в АБС
                              4. учётная запись системы электронного документооборота
                              5. учётная запись в системе контроля доступа
                              6. учётные записи прикладных систем (скорее, части из них): всякие контакт центры, телефония, службы доставки факсов, CRM, 1С какая-нибудь - тут вариантов туча.

                              И в каждой из систем у пользователя будет свой набор "прав", которые назначать будут скорее всего несколько администраторов ИБ.


                              Сообщение от Berckut Посмотреть сообщение
                              2.
                              Администратор безопаности согласует доступ сотрудника к ресурсу.
                              Администратор системы создаёт пользователя и назнает ему права.
                              Скорее:
                              - владелец ресурса согласует доступ сотрудника
                              - Администратор системы создаёт "пользователя" и назнает ему "права"
                              - Администратор безопаности контролирует соответствие предоставленных "прав" согласованному доступу
                              Сообщение от Berckut Посмотреть сообщение
                              По второму варианту обычно действуют, когда службы ИБ и ИТ не могут договориться между собой и ИТ не хочет делиться доступом.
                              Была уже тут дискуссия, есть ли чем ИБ заняться кроме как созданием аккаунтов

                              Комментарий

                              Пользователи, просматривающие эту тему

                              Свернуть

                              Присутствует 1. Участников: 0, гостей: 1.

                              Обработка...
                              X