NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 工作心得 .: 原创---浅谈系统管理员如何避嫌

原创---浅谈系统管理员如何避嫌

在一个企业信息系统中,尤其是高度依赖微软活动目录的信息系统,若没有采取有效的管理措施和权限审计机制,“无所不能”的系统管理员有时候真的可以为所欲为,破坏力不说,每天随时被监视着的感觉让用户不舒服,而被用户认为我们随时可以监视他们的感觉也很让人不舒服。

以一个AD+Exchange的环境为例,默认情况下,拥有Exchange Full Admin权限的邮件管理员可以给任意一个用户邮箱设置“完全控制”权限,这就意味着这个邮件按系统管理员可以随意查看、修改、删除所有在受他管理的用户邮箱内容,如用户隐私、商业机密等敏感信息。

可以说绝大多数的邮件系统管理员都有自己的职业操守,这些信息是不能看的,即便不小心看了也是不能说的,但仅仅依靠个人的职业操守标准并不能让所有用户都能放心,因为这看不见的“职业操守”并不能约束高权系统管理员的行为,所以用户存在这种时刻被窥视的顾虑是可以想象的。

举个例子,工作经常会有用户会打来电话问我:我密码忘了,能帮我看看现在密码是什么吗?对不起,我也不知道,请走密码重置流程。可见我们这些管理员在用户的眼里是多么的可怕,要是用户连用个邮件都要担心会不会成为某个门的主角,这还谈什么高质量的用户体验和高度可信赖?

那么,我们这些“手握重兵”的高权限系统管理员该怎么做才能洗脱嫌疑,让用户安安心心的用,管理员快快乐乐的管,大家的工作开展的和谐又和谐呢?

想要实现上述的理想,道路并不崎岖也不漫长。接下来,我来说说在项目上成功实施的案例。这里刚刚经历了一次来自高层用户的质疑,但经过下述处理,成果很丰硕,领导很满意,因为领导可以理直气壮的告诉所有用户:别怕,能看到你们都在做什么的系统管理员,他们所有的行为其实可以被我们大家一起监视着……放心,放心。

那么,我们来看看这权力如何被正确使用,以及如何被大家监督的:

1、 交权。

把自己手中要命的权限统统滴交出去,没这可怕的权力就没有承担嫌疑的义务了。当然,这活儿也就没法干了,你还做维护不?你还想给用户提供优质的服务不?

原先这里邮件系统的Full Admin权限,也就是完全控制权限是直接授予admin.xxxadmin.yyyadmin.zzz这三个管理员帐号的,平时99%的操作,其实都用不到Full Admin的权限。如果都针对管理员帐号行为做审核,那也可以,但以后管理员人员若发生变化,那又要做一次复杂的审核、授权过程。

那么,只要在邮件组织中将Full Admin权限授予某个权限组,如手动创建的“邮件系统完全管理”通用安全组,等操作需要用到Full Admin权限时,再由Domain Admin权限的帐号将某个管理员帐号添加到“邮件系统完全管理”组中即可完成授权。

同时将权限稍微低一些的Exchange Admin权限通过委派授予手动创建的“邮件系统操作”通用安全组,再把admin.xxxadmin.yyyadmin.zzz这三个帐号加入该组。

再将这两个安全组在所有Exchange 2003服务器上设置为“本地管理员”,因为有很多操作需要用到服务器的本地管理员权限,如备份。

效果:让所有管理员交出Exchange Full Admin权限,日常操作只使用Exchange Admin权限,需要Full Admin时临时再把管理员帐号加入Full Admin安全组,同时授权过程简单易控,以后来新的管理员,只需将管理员帐号加入相应的安全组即可。

2、 高权回避。

在邮件组织内所有服务器上的所有数据库上,对“邮件系统操作”这个安全组设置拒绝“Receive As”和“Send As”权限,这安全组就无法直接挂上用户邮箱查看邮件内容了。

效果:日常情况下,“邮件系统操作”组中的管理员不能使用这种要命的权限去看用户邮箱内容了,如果想看,就得被加入“邮件系统完全管理”安全组中。

3、 高权审计。

对“邮件系统完全管理”和“邮件系统操作”两个安全组开启审核,并在两个安全组的“审核”中,根据下图内容对相关审核对象进行设置:

此外,在域策略中启用“账户管理”审核。

效果1:两个安全组中的帐号若做过图中所列的动作,不管成功与否,都会被记录;

效果2:所有往这两个群组里添加、删除帐号的操作,都会在“事件查看器”的“安全性”中出现,ID号为660661。我们通过查看日志就知道有谁用过这个权限了。

4、 建立权限监管机制

需要用到Full Admin权限时,由Domain Admin将某个管理员帐号加入“邮件系统完全管理”安全组中,用完权限即刻从该组中将管理员帐号移除。一旦发生需要追溯高权使用记录的需求,直接在DC上查看安全性日志即可,通过筛选一目了然。

效果:平时“邮件系统操作”组中的管理员无法看用户邮箱内容。而能看用户邮箱内容的“邮件系统完全管理”在看用户邮箱时,需要经过授权,而且在看的时候都会被记录:什么时候谁看了谁的邮箱,做了什么操作等等。面对这么要命的记录,哪个管理员敢尝试?

 


这篇文章对你多有用?

相关文章

article 公司网络GHOST,使网络管理员在半个小时内把公司上百台机,恢复到一个干净可用的正常系统
网络GHOST实验主要有以下几步:1、在一台winodows2...

(No rating)  8-1-2011    Views: 2540   
article Win10怎么打开超级管理员 Win10开启Administrator账号方法
...

(No rating)  12-25-2016    Views: 606   
article Win10系统如何提升管理员权限?
方法/步骤如下: ...

(No rating)  9-5-2017    Views: 490   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited