Ruolo di helpdesk e amministratori locali

0

Devo rielaborare il nostro attuale modello di sicurezza per i computer desktop e vorrei sapere quali modifiche possono essere apportate e le best practice.

Attualmente abbiamo il ruolo di helpdesk che viene pubblicato tramite GPO per aggiungerlo al gruppo di amministratori locali sui computer. Per gli utenti che richiedono di essere amministratori locali, neghiamo al computer l'accesso all'oggetto Criteri di gruppo e aggiungono il proprio account al gruppo di amministratori locali. Questo pone un problema quando il nostro personale di helpdesk deve lavorare sul computer quando l'utente amministratore locale non è presente. Gli ex amministratori (che non lavorano più qui) hanno collocato gli utenti nel ruolo di helpdesk che richiedeva solo l'utilizzo dell'amministratore locale sul proprio computer.

Ora abbiamo 30 utenti esperti che stanno iniziando a capire che possono accedere a \ computername \ c $ condivisioni.

Come posso eliminare il conflitto dell'helpdesk / amministratore locale senza creare oggetti Criteri di gruppo per ogni account di computer?

Posso disabilitare le condivisioni amministrative locali a un gruppo specifico e aggiungere i nostri utenti esperti a quel gruppo o non è una buona politica?

    
posta AWippler 12.12.2013 - 17:54
fonte

1 risposta

1

Questo è un perfetto esempio di come entrano in gioco i gruppi di sicurezza e il concetto di migliori pratiche di Separazione di doveri.

Crea gruppi di sicurezza per i tuoi utenti , per ruolo dipartimentale o funzionale - uno di questi gruppi di sicurezza dovrebbe essere qualcosa come "Helpdesk-LocalAdmin" (scegli qualcosa coerente con la tua convenzione di denominazione - se non ti Abbiamo già una convenzione di denominazione standardizzata, non è mai troppo tardi per stabilirne uno).

Crea un criterio di gruppo, chiamalo qualcosa come "HelpdeskLocalAdmin" e:

  • Espandi "Configurazione computer \ Criteri \ Impostazioni di Windows \ Impostazioni di sicurezza \ Gruppi con restrizioni"
  • Nel riquadro destro di "Gruppi con restrizioni", fai clic con il pulsante destro del mouse e fai clic su "Aggiungi gruppo ..."
  • Digitare il nome del gruppo di amministratori locali dell'Helpdesk, ad esempio: Helpdesk-LocalAdmin e premere "OK"
  • Fai clic su Aggiungi sotto "Questo gruppo è membro di:"
  • Aggiungi il gruppo "Administrators".
  • Fai clic su OK

Ora, per ognuno dei tuoi personale dell'helpdesk a cui dovrebbe essere concesso l'accesso all'account dell'amministratore locale, aggiungili al gruppo di sicurezza "Helpdesk-LocalAdmin" e l'oggetto Criteri di gruppo verrà automaticamente applicato.

Spiegazione: Ogni "privilegio" in un ambiente di rete / computing dovrebbe essere "default deny", il che significa che gli utenti devono avere accesso esplicito alle risorse di rete / server / applicazioni. Ciò ti consente di controllare in modo specifico chi ha accesso a cosa, invece di tentare di negare in seguito chi non dovrebbe avere accesso e tenerne traccia.

    
risposta data 12.12.2013 - 19:42
fonte

Leggi altre domande sui tag