W2K и Exchange как заблокировать админов?
Модератор: Модераторы
Сообщений: 8
• Страница 1 из 1
terror » 26 окт 2004, 17:08
Товарищи спецы!
Задача.
Есть крупная организация, много серверов Еxchange и доменов, тут подкинули мне задачку:
Необходимо заблокировать всем администратоам (Еxchange, Enterprise и пр.) право на изменение прав в Exchange (а именно что бы они не могли получить галки Recive AS и Send AS) в рамках Еxchange.
Захожу админом,
открываю тестовую виртуальную машинку достаю лопату и тыкаю в свойства совей организации Еxchange - далее Security\Advanced и ставлю всем админам deny на Change permissions ну и докучи на Change options, для This object (если еще отрубить read разрешения - раздел Exchange вываливаеться у админов начисто).
Затем перезапускаю консольку и ломлюсь в Exchange свойства тыкаю в первую попавшуюся галку, жму применить и получаю отлуп - это хорошо! Вроде как сработало. Однако, потом чтобы проверить, лезу в секурити пытаюсь изменить права - отлуп. Все супер - задача решена!!!!
ОДНАКО! Потом лезу уже напрямую в секурити меняю разреения и жму применить и... они меняються. Епрст.... Я плакаль и дрыгаль ногой.
Т.е. если до этого зацепить дкакую нибуть галку в настройках и получить отлуп то и секупити будет выбрасывать как надо.
Внимаение вопрос - правильно ли я пыталси эту задачу решить и (если не правильно) как это можно всетаки сделать.
Задача.
Есть крупная организация, много серверов Еxchange и доменов, тут подкинули мне задачку:
Необходимо заблокировать всем администратоам (Еxchange, Enterprise и пр.) право на изменение прав в Exchange (а именно что бы они не могли получить галки Recive AS и Send AS) в рамках Еxchange.
Захожу админом,
открываю тестовую виртуальную машинку достаю лопату и тыкаю в свойства совей организации Еxchange - далее Security\Advanced и ставлю всем админам deny на Change permissions ну и докучи на Change options, для This object (если еще отрубить read разрешения - раздел Exchange вываливаеться у админов начисто).
Затем перезапускаю консольку и ломлюсь в Exchange свойства тыкаю в первую попавшуюся галку, жму применить и получаю отлуп - это хорошо! Вроде как сработало. Однако, потом чтобы проверить, лезу в секурити пытаюсь изменить права - отлуп. Все супер - задача решена!!!!
ОДНАКО! Потом лезу уже напрямую в секурити меняю разреения и жму применить и... они меняються. Епрст.... Я плакаль и дрыгаль ногой.
Т.е. если до этого зацепить дкакую нибуть галку в настройках и получить отлуп то и секупити будет выбрасывать как надо.
Внимаение вопрос - правильно ли я пыталси эту задачу решить и (если не правильно) как это можно всетаки сделать.
domovoy » 26 окт 2004, 17:15
terror
1. вопрос а зачем, на то он и админ что бы управлять серверами, если админу не доверяют то имхо проще его уволить. так как если он админ то свои права он все равно перехватит обратно.
2. А просто удалить его из групп Exchange не пробывал в АД ?
1. вопрос а зачем, на то он и админ что бы управлять серверами, если админу не доверяют то имхо проще его уволить. так как если он админ то свои права он все равно перехватит обратно.
2. А просто удалить его из групп Exchange не пробывал в АД ?
Правильно заданный вопрос - это уже половина ответа.
terror » 26 окт 2004, 17:24
1. Вот когда админов в конторе 20 штук тогда и надо.
2. Тогда возникнут другие проблемы.
А есть еще всякие там Enterprise админы.
2. Тогда возникнут другие проблемы.
А есть еще всякие там Enterprise админы.
Harry33 » 26 окт 2004, 17:26
terror
1. Создай в AD группы вместо штатных администарторов Exchange и администраторов домена.
2. В эти группы включи людей которым требуется предоставить необходимые права. Закрой изменения состава этих групп политиками безопасности (Restricted Groups).
3. Предоставь созданным группам права, предоставляемые стандартным группам.
4. Отбери у стандартных групп предоставляемые права.
Это общий алгоритм работы. Необходимо четко проработать состав групп что бы не угробить работу системы.
Проще решить другим методом - организационным.
1. Административно - каждому админу 2 учетные записи - первая с административными правами, вторая с правами простого смерного.
2. Постоянная работа ТОЛЬКО с правами простого смертного.
3. Каждый факт использования административной учетной записи - фиксировать в бумажном журнале, а проверять факт использования ежедневно скриптом по свойству LastLogon.
Метод изумительный.
domovoy
Это на самом деле не перебор, это нормальная ситуация, и кстати вышеприведенный алгоритм - рекомендация любого разработчика ОС.
1. Создай в AD группы вместо штатных администарторов Exchange и администраторов домена.
2. В эти группы включи людей которым требуется предоставить необходимые права. Закрой изменения состава этих групп политиками безопасности (Restricted Groups).
3. Предоставь созданным группам права, предоставляемые стандартным группам.
4. Отбери у стандартных групп предоставляемые права.
Это общий алгоритм работы. Необходимо четко проработать состав групп что бы не угробить работу системы.
Проще решить другим методом - организационным.
1. Административно - каждому админу 2 учетные записи - первая с административными правами, вторая с правами простого смерного.
2. Постоянная работа ТОЛЬКО с правами простого смертного.
3. Каждый факт использования административной учетной записи - фиксировать в бумажном журнале, а проверять факт использования ежедневно скриптом по свойству LastLogon.
Метод изумительный.
domovoy
Это на самом деле не перебор, это нормальная ситуация, и кстати вышеприведенный алгоритм - рекомендация любого разработчика ОС.
Знания, которые нельзя применить - бесполезны
domovoy » 26 окт 2004, 17:37
Harry33
Согласен, но именно таким, штатным так сказать способом.
Плюс еще планирование структуры АД и делегирование прав на управление определенными участками (подразделениями, субдоменами и т.д.) в АД.
Согласен, но именно таким, штатным так сказать способом.
Плюс еще планирование структуры АД и делегирование прав на управление определенными участками (подразделениями, субдоменами и т.д.) в АД.
Правильно заданный вопрос - это уже половина ответа.
domovoy » 26 окт 2004, 17:38
Тему перемещу сюда имхо тут ей более подходящее место.
Правильно заданный вопрос - это уже половина ответа.
terror » 27 окт 2004, 08:50
Вот я чего и боялси. Перелопатить в АД группы. Потом какойнибуть SQL заглючит или еще там чего. Корневой домен леса, серверов докучи + еще доменов 15 .....
Я думал это баг винды, что мол в одном случае мой способ срабатывает, в другом нет...
Я думал это баг винды, что мол в одном случае мой способ срабатывает, в другом нет...
domovoy » 27 окт 2004, 13:25
terror
Не в группы, а в OU, зато управление и администрирование при таком количестве доменов у тебя будет более гибким
Не в группы, а в OU, зато управление и администрирование при таком количестве доменов у тебя будет более гибким
Правильно заданный вопрос - это уже половина ответа.
Сообщений: 8
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1