Администрирование на основе ролей в ISA Server 2006

ISA Server 2006 позволяет делегировать административные
разрешения отдельным юзерам, чтоб делать модель
администрирования более гибкой. ISA Server 2006 употребляет две
разные модели для предназначения разрешений отдельным
юзерам. ISA Server 2006 Standard употребляет ординарную
модель, которая держит под контролем доступ к определенным элементам
конфигурации ISA. ISA Server 2006 Enterprise употребляет более
распределенную модель, позволяющую назначать разрешения на
уровне предприятия и массива.

Таблица 1: Роли ISA Server 2006 Standard

Роли ISA Server 2006 Standard Задачки
ISA Server Monitoring Auditor Юзеры, которым назначена эта роль, могут
создавать мониторинг ISA Server 2006, но не могут
просматривать конфигурацию ISA Server.
ISA Server Auditor Юзеры и группы, которым назначена эта роль,
могут производить все деяния мониторинга, такие как
настройка логов брандмауэра, определение оповещений ISA,
и могут просматривать, но не могут изменять конфигурацию
ISA Server 2006.
ISA Server Full Administrator Юзеры и группы, которым назначена эта роль,
могут делать любые задачки на ISA Server 2006. Это
роль дает юзерам наибольшие права для
администрирования ISA Server 2006.

Каждому юзеру Windows либо группе Windows могут быть
назначены разрешения этих ролей ISA Server. Для этого не
требуется никаких особых льгот либо разрешений
Windows.

Заметка:Есть одно исключение к произнесенному выше.
Когда юзер пробует открыть Perfmon для просмотра
счетчиков производительности ISA Server 2006 Performance либо
панель инструментов ISA Server Dashboard, его/ее учетная
запись должна заходить в состав группы Windows Server 2003
Performance Monitor User.

Для предназначения административных ролей запустите консоль ISA
Server 2006 Management, правой кнопкой нажмите на свойствах
объекта сервера и изберите в навигационном меню вкладку
«Назначить роли». Вы должны быть админом с ролью ‘ISA
Server Full Administrator’, чтоб делегировать разрешения.

Нажмите «Добавить», чтоб избрать юзера либо группу,
которым вы желаете назначить особые роли.

Администрирование на базе ролей в ISA Server 2006

Набросок 1: Предназначение ролей управления ISA

После выбора юзера либо группы изберите роль, которую
вы желаете назначить этому юзеру либо группе.

Администрирование на базе ролей в ISA Server 2006

Набросок 2: Выбор роли управления

Пример разрешения ролей ISA Server

Таблица 2: Детализированное разрешение ISA Server 2006
(Источник: Role-based
Administration in ISA Server 2006)

Действие ISA Server Monitoring Auditor ISA Server Auditor ISA Server Full Administrator
Просмотр панели инструментов, предупреждений,
подключаемости, сеансов, сервисов
Разрешено Разрешено Разрешено
Доказательство предупреждений Разрешено Разрешено Разрешено
Просмотр инфы логов Не разрешено Разрешено Разрешено
Создание определений предупреждений Не разрешено Не разрешено Разрешено
Создание отчетов Не разрешено Разрешено Разрешено
Остановка и пуск сеансов и служб Не разрешено Разрешено Разрешено
Просмотр политики брандмауэра Не разрешено Разрешено Разрешено
Настройка политики брандмауэра Не разрешено Не разрешено Разрешено
Настройка кэша Не разрешено Не разрешено Разрешено
Настройка виртуальной личной сети (VPN) Не разрешено Не разрешено Разрешено

Внимание: Если вы удалите назначенную для
определенного юзера либо группы юзеров роль
управления ISA, то юзеры, удаленные из этой группы,
сохраняют право владения объектами, которые они сделали,
потому админ ISA может удалять сделанные им объекты,
хотя больше не имеет роли управления ISA Server.

Администрирование на базе ролей в ISA Server 2006

Набросок 3: Юзеры сохраняют право владения
сделанными ими объектами

Открытие консоли управления ISA с нулевым доступом

Любопытно также то, что происходит, когда юзер
пробует открыть консоль управления ISA Server 2006, не имея
назначенной ему роли управления ISA Server 2006. Я пробовал
сделать это с учетной записью юзера Auditor, которому
не была назначена роль управления ISA Server. Итог
показан на рисунке ниже.

Администрирование на базе ролей в ISA Server 2006

Набросок 4: Оповещение о том, что юзер
пробует открыть консоль управления, не имея назначенной ему
роли управления

Тестирование концепции ролей ISA

В качестве последующего шага, я вошел на сервер под учетной
записью юзера Auditor, которому провозгласил роль ISA
Server Auditor. Открыв консоль управления, я попробовал сделать
новое правило брандмауэра, но не сумел, так как роль ISA
Server Auditor не имеет достаточных прав для сотворения правил
брандмауэра.

Администрирование на базе ролей в ISA Server 2006

Набросок 5: Роль ISA Server Auditor не имеет
разрешения на создание правил брандмауэра

Определение административных ролей на уровне предприятия
(Enterprise-Level)

ISA Server 2006 Enterprise также употребляет модель на
базе ролей для сотворения админов предприятия и
массива с предопределенными ролями. Юзеры с
определенными ролями имеют право делать определенные задачки
ISA Server. В ISA Server 2006 существует два вида ролей, роли
уровня предприятия и уровня массива. В ISA Server 2006
Enterprise можно назначать последующие роли уровня
предприятия:

Таблица 3: Роли ISA Server 2006
Enterprise

Роль ISA Server 2006 Enterprise Задачки
ISA Server Enterprise Administrator Эта роль дает полный контроль на предприятием и
настройкой массивов предприятия. Юзеры с этой
ролью могут создавать политики компаний и использовать
их к массиву, управлять конфигурацией массива и
назначать роли другим юзерам и группам.
ISA Server Enterprise Auditor Эта роль позволяет юзерам просматривать
конфигурацию предприятия и конфигурацию всех массивов
предприятия.
ISA Server Enterprise Policy Editor Юзеры с ролью Enterprise Аdministrator могут
назначать определенные разрешения администрирования для
определенных политик предприятия, ограничивая тем
администрирование на уровне предприятия в рамках этих
политик. Юзер с ролью Enterprise Policy Editors
может создавать правила для определенной политики
предприятия, но не может создавать новые
политики.

Дискреционный перечень контроля доступа (Discretionary
Access Control Lists)

Когда ISA Server 2006 установлен, он употребляет
дискреционный перечень контроля доступа (DACL) для опции
разрешений. ISA Server 2006 перенастраивает DACL всякий раз,
когда перезапускается служба Microsoft ISA Server Control
(ISACTRL) либо когда вы добавляете новые административные роли
ISA Server.

Заключение

В этой статье я предпринял попытку показать вам, как
делегировать административные разрешения разным
юзерам и группам юзеров для управления ISA
Server 2006. Рассредотачивание администраторских прав брандмауэра
нередко требуется в производственных средах, где нужно
работать со обилием серверов ISA Servers, и
администраторская работа осуществляется персоналом
администрирования.

На мой взор делегирование администраторских разрешений в
ISA Server 2006 очень полезно для компаний ISA Server 2006
Enterprise, так как в силу модели массива и производственной
среды бывает очень полезно делить администраторские
разрешения для управления ISA Server 2006.

Дополнительные ссылки

Role-based
Administration in ISA Server 2006
Enterprise
Management in ISA Server 2006
Security
Guide

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.

Заказать у нас zaborprofnastil с доставкой покупателю.