Windows Server 2003/2008 환경을 근본적으로 변경하고 있습니다. 유닉스 측면에서 보안 제약은 간단합니다.
- 관리자 권한이 필요한 사용자는 특수 그룹 ( “휠”또는 이와 유사한)에 있습니다.
- 해당 사용자가 해당 시스템에 로그온하면 해당 관리자 권한으로 명령을 명시 적으로 실행할 때까지 ( “sudo 명령”또는 “su”) 관리자 권한이 없습니다.
- “su”( “runas”와 같은 종류)를 사용하여 명령을 실행할 때도 여전히 자신의 암호를 입력해야합니다.
이 시스템에서는 관리자 권한을 가진 사람 (그룹 구성원 별)을 제어하고 실수로 관리자 권한으로 무언가를 실행하는 것을 방지 할 수 있으며 ( “su”또는 “sudo”를 요구하여) 핵심 “관리자”(예 : “루트”) 비밀번호 (자체적으로 요청되므로)
Windows Server에서 동등한 작업을 수행하려면 어떻게합니까? 내가 보는 옵션은 다음과 같습니다.
- 로컬 관리자 계정에 사용자 추가 : 그러나 관리자가하는 모든 작업은 오류가 발생할 수 있습니다.
- 그들에게 “관리자 실행”을 요구하십시오 : 그러나 그들은 공유하고 싶지 않은 관리자 암호를 알아야합니다.
그룹 구성원별로 액세스 권한을 가진 사람을 제어하십시오. 별도의 암호를 요구하여 실수로 손상되는 일을 방지합니다. 관리자 비밀번호를 모르는 경우
답변
우선, 관리자 만이 관리자 액세스 권한을 얻어야하므로 필요한 이유가 엄청나게 큰 이유가 없다면 관리자에게 맡겨야합니다. 일반 사용자가 관리자 권한을 얻는 경우는 드물며, 그럴 필요가있는 이유에 대해서는 회의적입니다.
둘째, Windows에서 그룹 멤버쉽을 사용하여 원하는 작업을 수행 할 수 있습니다. Active Directory를 사용하고 있다고 말하지 않았으므로 도메인이 있고 그렇게하고 있는지 확실하지 않지만 보안 그룹을 만들고 개별 사용자 계정을 추가 할 수 있습니다. 여기를 봐. 서버의 로컬 관리자 그룹에 사용자를 개별적으로 추가하지 않을 것입니다. 이로 인해 혼란스럽고 길을 추적하기가 어려울 수 있으며 많은 두통과 잠재적 인 보안 문제가 발생할 수 있습니다. 위에서 언급했듯이 보안 그룹을 생성하고이 그룹에 대한 관리자 액세스 권한을 부여 할 구성원을 추가하는 것입니다. 사용자를 위해 두 개의 사용자 계정을 만듭니다. 하나는 일반 로그인 용이고 다른 하나는 높은 작업에만 사용 된 두 번째 계정입니다. “고급 / 권한있는”사용자 계정을 보안 그룹에 추가 한 다음이 그룹을 실제 서버의 고급 사용자와 같은 고급 로컬 그룹 구성원으로 지정할 수 있습니다. 이를 통해 관리자가 아닌 많은 기능을 수행 할 수 있습니다.
관리자 권한으로 실행하는 한 항상 그렇게 할 필요는 없습니다. 관리자 나 관리자 암호를 몰라도 사람들이 작업을 수행하는 가장 좋은 방법은 Shift + 오른쪽 클릭을 사용하고 다른 사용자로 실행을 선택하거나 마우스 오른쪽 버튼을 클릭하고 관리자로 실행을 선택하는 것입니다. 먼저 위에서 언급 한대로 더 높은 권한 또는 상승 된 권한을 가진 사용자를 위해 별도의 사용자를 작성하려고합니다 (이러한 상승 된 사용자는 위에서 언급 한대로 보안 그룹에 다시 추가됨). 일반 / 표준 사용자 계정으로 로그인하는 동안 모든 권한 상승이 필요합니다. 내 스크린 샷보기 :
그것은 관리자만큼 일을하는 한 원하는 일을 처리해야합니다. 내가 추가 할 수있는 마지막 메모는 UAC를 유지하는 것입니다. 이렇게하면 사용자는 서버에서 수행하는 작업에 대한 관리자 비밀번호가 아닌 (높은) 비밀번호를 입력해야합니다. 많이 입력해야 할 때 고통이지만 보안을 위해서는 그만한 가치가 있습니다.
답변
표준 계정을 ‘표준’으로 두십시오. 권한있는 두 번째 계정을 만들어 다양한 관리 그룹에 추가하십시오. 권한있는 계정으로 ‘runas’를 사용하십시오. (관리자 계정으로 대화 형 로그온을 비활성화하는 것이 유용 할 수 있지만 다시 성가 시게됩니다).
답변
Server 2003에서는 Run As...관리 권한이있는 계정으로 실행 하려면이 옵션을 사용해야합니다 .
Server 2008+에서는 UAC 및 / 또는 Run as Administrator제안한 옵션을 사용합니다. 이에 암호를 알 필요가 없습니다 [지역] 관리자 계정 – 어떤 관리 자격 증명 할 것입니다.
따라서 보안 관점에서 계정을 로컬 관리 그룹에 추가하거나 더 나은 방식으로 별도의 관리 계정을 만들어 로컬 관리 그룹에 추가해야합니다. 그런 다음 관리자 권한으로 무언가를 실행해야하는 경우 UAC는 관리자 자격 증명을 묻는 메시지를 표시하거나 Run As.../ Run as Administrator옵션을 사용합니다 .