A separação de função do administrador no Windows Server 2008 não é um recurso formalmente definido com um nome específico como "separação de função do administrador". Em vez disso, refere -se a uma * prática * de separar tarefas e privilégios administrativos para melhorar a segurança. O próprio Windows Server 2008 não aplica inerentemente essa separação; É uma estratégia que você implementa usando suas ferramentas internas.
A idéia principal é evitar fornecer a qualquer conta ou usuário uma gama completa de privilégios de administrador. Em vez disso, você divide as responsabilidades administrativas em funções menores e mais específicas:
*
Administradores de domínio: Essas contas têm controle quase total sobre todo o domínio. Este deve ser um grupo muito limitado de indivíduos altamente confiáveis.
*
Administradores corporativos: Este grupo tem o mais alto nível de privilégios em uma floresta do Active Directory. Seus membros podem gerenciar todos os domínios da floresta. O acesso deve ser extremamente restrito.
*
Administradores de servidores: Contas com privilégios administrativos específicos para um único servidor. Eles podem ser usados para gerenciar aplicativos, serviços ou outros aspectos de um servidor sem conceder acesso em todo o domínio.
*
Administradores de aplicativos específicos: Para tarefas como gerenciar um servidor de banco de dados ou servidor da web, você pode criar contas de usuário separadas que possuem apenas os privilégios necessários para esses aplicativos.
Os benefícios desta separação incluem:
*
superfície de ataque reduzida: Se uma conta estiver comprometida, o dano será limitado às tarefas que a conta pode executar. Uma conta de administrador de domínio comprometida é muito mais devastadora do que uma conta comprometida apenas com acesso a um único servidor de aplicativos.
*
Responsabilidade aprimorada: É mais fácil rastrear quem fez o que muda quando os administradores tenham funções e responsabilidades claramente definidas.
*
Princípio do menor privilégio: Cada usuário ou serviço tem apenas as permissões mínimas necessárias para executar suas tarefas.
Como implementar a separação de função no Windows Server 2008: Você realiza isso principalmente por meio de:
*
Criando contas e grupos de usuário específicos: Em vez de usar a conta do administrador interno para tudo, crie muitas contas menores e mais focadas.
*
Usando a política do grupo: Atribuir direitos e permissões específicos a essas contas e grupos.
*
Delegação de controle: Usando os recursos de delegação do Active Directory para conceder apenas os privilégios necessários a usuários ou grupos específicos para gerenciar recursos específicos.
*
Usando diferentes contas de serviço: Executando serviços em contas que têm privilégios mínimos.
Em resumo, "separação de função do administrador" no Windows Server 2008 não é um recurso singular, mas uma estratégia de segurança implementada por meio de um gerenciamento cuidadoso de contas de usuário, política de grupo e aderência ao princípio do menor privilégio. É um aspecto crucial de proteger um ambiente do Windows Server 2008.
