הצבה נבחרת – שאלה לגבי שימוש ב- Restricted Groups

8 ביולי 2008

לא כל ההודעות בפורומים הם הודעות מסוג תקלה-פתרון, לעתים רבות ישנן גם בקשות ליעוץ, הבהרות וכד’. הפעם בחרתי לציין שאלה של משתמש בשם SecurityAdmin בפורום Security, אשר לומד כרגע לקראת MCSE ורוצה להבין מהו השימוש הנכון ב- Restricted Groups, ולאלה סיטואציות הוא מתאים.
יזהר הורוביץ ודניאל פטרי (MVP) נרתמו לעזור ולהבהיר את השימושים.

פנייה ראשונית:

פורום Security שלום רב, רציתי לשאול אם הבנתי נכון.
האם השימוש ב- Restricted Groups מיועד למצבים שאני רוצה לתת למישהו חיצוני(לא מהארגון) גישת דומיין אדמין\סכמה אדמין על על DC או על כל ה-Forest אך לזמן מוגבל שאני מגדיר ואני לא שם אותו ב-Restricted Groups ה-DC משווה בין מה שיש ב-Restricted Groups לבין מה שיש ב-AD ואז אם הוא לא מופיע ב-Restricted Groups הוא פשוט יעוף משם.
האם זה השימוש של הקבוצות הנ"ל?
כי מה שאמרו לי בין היתר זה שהשמוש של Restricted Groups זה שאם למשל אני מכניס שם מישהו הוא יהיה אדמין על כל הפורסט או הדומיין אבל הוא לא יוכל להוסיף לקבוצה משתמשים חדשים פשוט עושים את זה לצרכי אבטחה שלא כל מנהל רשת יהיה גם איש אבטחת מידע בארגונים גדולים שלמשל שמבצעים תחקירים ביטחוניים וכו'.
האם זהו שימוש נוסף?חיפשתי מאמר שמצדד את זה אך לא מצאתי.

דניאל פטרי מבקש הבהרות שימוש:

What are you trying to do with the Restricted Groups? Restrictrd Groups are like any other GPO setting. They only apply to the Site, Domain or OU to which they are linked to, or inhereted by. Therefore, before saying that they don't work, make sure that they're properly configured

SecurityAdmin מבהיר ומחדד את שאלתו:

דניאל שלום רב, קודם כל תודה רבה על המענה המהיר ותודה מקרה לב על כל התרומה האדירה שלך פה, בפורומים אחרים (כמו פרש) ועל האתר המאוד מושקע שלך שעוזר לי מאוד ואני מאמין לעוד רבים נוספים. אני לא מנהל רשת בארגון אלא לומד ל-MCSE והמטרה שלי היא להבין את המשמעות של זה,טרם ניסתי לעשות משהו.
אתאר 2 סיטואציות נפרדות ואשאל האם שימוש ב-Restricted Groups יעשה את העבודה:

  • סיטואציה ראשונה: בא לארגון שלי איש טכני שאמרו לקנפג את כל הפיירוול בארגון. הוא צריך הרשאות דומיין אדמין\סכמה אדמין על כל ה-DC או הפורסט. אני רוצה להעניק לו את כל ההרשאות *למעט* הרשאה שיוכל ליצור לי משתמשים חדשים. Delegation לא בא בחשבון,כי אני רוצה שהוא ינהל את כל הפורסט ולא רק OU ספציפי. כמובן שאני יבצע עליו Audit ויצמיד לו מישהו ,השאלה אם אני מכניס אותו ב-Restricted Groups זה ימנע ממנו ליצור משתמשים חדשים(כי זה מה שאמרו לי באחד הפורומים).
  • סיטואציה שנייה: נתתי לאיש שלא שייך לארגון דומיין אדמין. אני רוצה שאחרי כמה זמן שאני יגדיר הוא יעוף משם. הבנתי שאם אני מוסיף אותו ב-AD בתור דומיין אדמין והוא לא קיים ב-Restricted
    Groups אחרי זמן מסויים הוא כבר לא יהיה אדמין. אני יכול כמובן פשוט בטאב של ה-AD לסמן לו שהחשבון יפוג בעוד X זמן אבל אני רוצה להבין פה את העקרון של Restricted Groups.

לאיזו מטרה ה-Restricted Groups מיועדת בגדול? האם הפתרון יעיל ל-2 הסיטואציות
הנ"ל?

יזהר הורוביץ מספק הסבר מקיף כולל דוגמאות:

השימוש ב RESTRICTED GROUPS לא מתאים לאף אחת מהסיטואציות שאתה מתאר, ובכלל אם אתה נותן למישהו הרשאה של DOMAIN ADMIN אז הוא יוכל לעשות מה שבא לו. האופציה הזו מיועדת לניהול הקבוצות המקומיות בתחנות ובשרתי MEMBER SERVER – למשל אם יש לך OU שבתוכו יש חווה של 10 שרתי TERMINAL SERVER או 10 שרתי IIS, ואתה רוצה להגדיר חשבון של מישהו שאמור לנהל אותם . אתה רוצה שאותו משתמש יהיה בקבוצת ADMINISTRATORS המקומית של כל אחד מהשרתים האלו.

  • דוגמא אחרת:
    אתה משתמש בתוכנת גיבוי שעובדת על חשבון משתמש כלשהו אבל אתה לא רוצה שהחשבון הזה יהיה DOMAIN ADMIN משיקולי אבטחה ושימוש בהרשאות המינמליות הדרושות. התוכנה הזו צריכה לגבות דרך הרשת 10 שרתי MEMBER SERVER. אתה יכול דרך RESTRICTED GROUPS להגדיר שהחשבון של תוכנת הגיבוי יהיה כלול בקבוצה BACKUP OPERATORS.
  • ודוגמא לניהול תחנות:
    נניח שאתה קבעת שמדיניות הארגון היא שלמשתמשים אין הרשאת ADMINISTRATOR מקומית בתחנות. על מנת לאכוף את זה אתה יכול להגדיר על OU שמכיל את חשבונות המחשבים, שיהיה GPO עם RESTRICTED GROUPS שקובע מי חבר בקבוצת ADMINISTRATORS המקומית – למשל רק ה DOMAIN ADMINS.

שים לב שעליך להיזהר ולא להפעיל את האופציה הזו על ה DOMAIN כולו וגם לא על ה DOMAIN CONTROLLERS – כי אם אתה רוצה להגדיר מישהו בקבוצות על ה DC אז פשוט תצרף אותו לקבוצה המתאימה מבלי להשתמש ב RESTRICTED GROUPS.

ברכות ותודות:

יזהר היקר
תודה רבה מקרב לב.
כמו תמיד אתה יוצא מלך מסביר במקצועיות,בסלבנות ועוזר מכל הלב.
אני כבר שנים עוקב אחרי הודעות שלך בכל מיני פורומים(גם בפרש) בכל פעם אני לומד ממך ומדניאל מחדש שגם היה פעיל שם בזמנו:)
כן ירבו כמוכם. כיף לדעת שיש מקצוענים שעוזרים לצעירים ללא תמורה

הרשו לי להצטרף גם כן לתודותיו של SecurityAdmin ולהודות ליזהר ולדניאל על התרומה הרבה והמענה הסופר-מקצועי בפורומים. כן ירבו!

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

3 תגובות

  1. Yosi Dahan9 ביולי 2008 ב 7:40

    מזל שיש בקבוצות הדיון כמה תותחי-על שיכולים לתת מענה מהיר לדברים מסוגים כאלו… ישר כוח על עבודתכם…

    הגב
  2. רונן13 ביולי 2008 ב 16:02

    מאיה שלום,
    הבלוג שלך מעולה
    בכלל מגניב שיש בנות שמתעסקות בסיסטם:)
    נכנס אצלי למועדפים.

    הגב
  3. EvilRen30 באוגוסט 2008 ב 14:19

    עם כל הכבוד ויש כבוד היית ממליץ לקרוא את הכתבה הבאה

    http://www.windowsecurity.com/articles/Using-Restricted-Groups.html

    Control the membership of the Enterprise Admins and Schema Admins groups. These groups should not be used that often, unless a large and important change is going to occur to a portion of Active Directory. By using the Restricted Group setting, you can manage and control the membership better and ensure that an incorrect account is not added to these groups incorrectly.

    הגב