Права помощника администратора

Выполняя работы по администрированию своей сети, вы будете вынуждены иногда часть задач возлагать на другого человека. Возможно, вы уходите в отпуск или просто объем работы достаточно велик. Но доверять полный ничем не ограниченный доступ к серверу и к сети можно только себе (и то не всегда). Поэтому при организации учетной записи для вашего помощника следует определить тот необходимый минимум прав, который позволит ему выполнять свои обязанности, но в значительной степени исключит вероятность возникновения проблем, связанных с превышением имеющихся полномочий (возможно, и невольным).

Определите круг задач вашего помощника. Предположим, что в ваше отсутствие потребуется добавлять и удалять учетные записи пользователей. Причем вам не хотелось бы допускать выполняющего это человека непосредственно к серверу.

Для решения таких задач достаточно в служебных целях создать учетную запись, владелец которой не будет иметь права на локальный вход на сервер. При этом выполнение сетевого входа возможно, но и его необходимость условна. В главе 3 были рассмотрены сценарии для управления учетными записями. Средой для выполнения этих сценариев является оболочка, создаваемая программой Wscript .ехе. Под управлением Windows XP можно запускать сценарии от имени другого пользователя, не выходя из своего сеанса. Для этого достаточно написать командный файл, содержащий строку:

runas /user:apl5.dom \<имя_учетной_записи> "wscript.exe с: \scripts\<имя_файла>.vbs"

где c:\scripts\script.vbs— путь и имя файла сценария, который будет выполняться, a runas — это команда, позволяющая запустить программу от имени другой учетной записи. В ОС Windows XP и Windows Server 2003 эта команда добавлена и в контекстные меню ярлыков программ в виде пункта Запуск от имени....

Вашему помощнику потребуется лишь знание пароля учетной записи, которую вы для него создали. Этот пароль необходимо ввести после запуска командного файла (рис. 4.4).

Рис. 4.4. Запуск сценария из командного файла от имени администратора

Лучше, если ограничение на право локального входа в систему на сервере будет установлено для отдельной группы, например, NotLocal. В эту группу следует включить и учетную запись помощника администратора. Для того чтобы этот пользователь мог управлять другими учетными записями, он должен быть членом группы операторов учета (встроенная группа). В свою очередь, группе операторов учета не должно быть предоставлено право локального входа в систему.

Ограничение локального входа в систему может быть установлено локальными политиками в контейнере дерева консоли Локальные параметры безопасности | Назначение прав пользователя | Локальный вход в систему/Отклонить локальный вход. Политики эти имеют три уровня:

  Локальные политики безопасности

  Политики безопасности домена

  Политики безопасности контроллера домена

Политики более высокого уровня перекрывают действие нижестоящих политик. Таким образом, группе Операторы учета не должны быть установлены разрешения на локальный вход (рис. 4.5), а группе NotLocal необходимо установить запрет на локальный вход (политика Отклонить локальный вход).

Рис. 4.5. Окно Локальные параметры безопасности (Локальный вход в систему)

Запрет достаточно установить на самом низком уровне — в локальных политиках. В табл. 4.1 показан возможный вариант распределения записей о группах в политиках безопасности. Запись "Не определена" говорит о том, что эта политика не применяется на данном сервере, но если она применяется на вашем сервере, то должно стоять слово "Отсутствует", группа не должна входить в перечень этой политики.