如何像Linux / Unix一样管理Windows:按组成员身份管理权限而不发生意外且没有共享管理员密码?

我正在对Windows Server 2003/2008环境进行一些根本性的更改.在Unix方面,我的安全约束很简单:

>应具有管理员权限的用户属于特殊组(“轮子”或类似组件).
>当这些用户登录到这些计算机时,他们仍然没有管理员权限,直到他们显式执行具有这些管理员权限的命令(“sudo命令”或“su”).
>即使他们用“su”执行命令(有点像“runas”),他们仍然需要输入密码:他们自己的密码.

在这个系统中,我可以控制谁具有管理员权限(按组成员身份),防止他们意外地执行具有管理员权限的事情(通过要求“su”或“sudo”),并且永远不会透露核心“管理员”(即“root”)密码,因为他们被要求为自己.

如何在Windows Server上执行等效操作?我看到的选项是:

>将用户添加到本地管理员帐户:但他们所做的一切都是管理员,冒着错误.
>要求他们做“runas管理员”:但他们必须知道管理员密码,我不想分享.

是否有任何解决方案,我可以同时:控制谁可以通过组成员访问;通过要求单独的密码防止他们意外地破坏事物;阻止他们知道管理员密码?

首先,只有管理员应该获得管理员访问权限,除非有他们需要的巨大(我不能想到一个好的),然后它应该留给管理员;在普通用户获得管理员权限的情况下很少见,即使这样,我也常常对他们为什么需要它持怀疑态度.

其次,您可以通过在Windows中使用组成员身份来完成您想要执行的操作.您没有说您使用的是Active Directory,因此我不确定您是否拥有域并且正在执行此操作,但您可以创建安全组并向其添加单个用户帐户. See here.我不会单独将用户添加到服务器上的本地管理员组,因为这样会变得混乱并且难以跟踪,并且会给您带来很多麻烦和潜在的安全问题.如上所述,我要做的是创建一个安全组,并添加您希望拥有该组管理员权限的成员.您将为您的用户创建两个用户帐户;一个用于常规登录,另一个用于仅用于提升操作的帐户.您将用户“更高/特权”帐户添加到安全组中,然后,您可以将此组放在实际服务器上的提升的本地组成员身份中,例如Power Users.这将使他们无需管理员即可执行许多功能.有时,该组将需要本地管理员访问权限,此时您可以将该组放入服务器上的本地管理员组.

就运行管理员而言,您不必一直这样做.让人们在不知道管理员或任何管理员密码的情况下运行的最佳方法是使用Shift右键单击,然后选择以不同用户身份运行,或者右键单击并以管理员身份运行.您首先要为具有更高权限的用户创建单独的用户,或者如上所述提升权限(如上所述,此提升的用户将再次添加到安全组),因为此用户可用于运行使用普通/标准用户帐户登录时需要提升.看我的截图:

对于以管理员身份运行的东西,这应该照顾你想要做的事情.我可能补充的最后一个注意事项是保持UAC.如果这样做,用户将被要求输入他们的(提升的)密码而不是他们在服务器上执行的操作的管理员密码.当你必须经常输入它时会很痛苦,但为了安全起见,它是值得的.

翻译自:https://serverfault.com/questions/595316/how-do-i-manage-windows-like-linux-unix-administrative-rights-by-group-membersh

转载注明原文:如何像Linux / Unix一样管理Windows:按组成员身份管理权限而不发生意外且没有共享管理员密码?