Wednesday, September 19th, 2018

Администрирование на основе ролей в ISA Server 2006

Published on Февраль 13, 2009 by   ·   Комментариев нет

ISA Server 2006 позволяет делегировать административные разрешения отдельным пользователям, чтобы делать модель администрирования более гибкой. ISA Server 2006 использует две различные модели для назначения разрешений отдельным пользователям. ISA Server 2006 Standard использует простую модель, которая контролирует доступ к определенным элементам конфигурации ISA. ISA Server 2006 Enterprise использует более распределенную модель, позволяющую назначать разрешения на уровне предприятия и массива.

Таблица 1: Роли ISA Server 2006 Standard
Роли ISA Server 2006 Standard Задачи
ISA Server Monitoring Auditor Пользователи, которым назначена эта роль, могут производить мониторинг ISA Server 2006, но не могут просматривать конфигурацию ISA Server.
ISA Server Auditor Пользователи и группы, которым назначена эта роль, могут осуществлять все действия мониторинга, такие как настройка логов брандмауэра, определение оповещений ISA, и могут просматривать, но не могут изменять конфигурацию ISA Server 2006.
ISA Server Full Administrator Пользователи и группы, которым назначена эта роль, могут выполнять любые задачи на ISA Server 2006. Это роль дает пользователям максимальные права для администрирования ISA Server 2006.

Каждому пользователю Windows или группе Windows могут быть назначены разрешения этих ролей ISA Server. Для этого не требуется никаких специальных привилегий или разрешений Windows.

Заметка:Есть одно исключение к сказанному выше. Когда пользователь пытается открыть Perfmon для просмотра счетчиков производительности ISA Server 2006 Performance или панель инструментов ISA Server Dashboard, его/ее учетная запись должна входить в состав группы Windows Server 2003 Performance Monitor User.

Для назначения административных ролей запустите консоль ISA Server 2006 Management, правой клавишей нажмите на свойствах объекта сервера и выберите в навигационном меню вкладку «Назначить роли». Вы должны быть администратором с ролью ‘ISA Server Full Administrator’, чтобы делегировать разрешения.

Нажмите «Добавить», чтобы выбрать пользователя или группу, которым вы хотите назначить специальные роли.

Удаленное администрирование isa server 2006

Рисунок 1: Назначение ролей управления ISA

После выбора пользователя или группы выберите роль, которую вы хотите назначить этому пользователю или группе.

Isa server удаленное администрирование

Рисунок 2: Выбор роли управления

Пример разрешения ролей ISA Server

Таблица 2: Детальное разрешение ISA Server 2006 (Источник: Role-based Administration in ISA Server 2006)
Действие ISA Server Monitoring Auditor ISA Server Auditor ISA Server Full Administrator
Просмотр панели инструментов, предупреждений, подключаемости, сеансов, сервисов Разрешено Разрешено Разрешено
Подтверждение предупреждений Разрешено Разрешено Разрешено
Просмотр информации логов Не разрешено Разрешено Разрешено
Создание определений предупреждений Не разрешено Не разрешено Разрешено
Создание отчетов Не разрешено Разрешено Разрешено
Остановка и запуск сеансов и служб Не разрешено Разрешено Разрешено
Просмотр политики брандмауэра Не разрешено Разрешено Разрешено
Настройка политики брандмауэра Не разрешено Не разрешено Разрешено
Настройка кэша Не разрешено Не разрешено Разрешено
Настройка виртуальной частной сети (VPN) Не разрешено Не разрешено Разрешено

Внимание: Если вы удалите назначенную для определенного пользователя или группы пользователей роль управления ISA, то пользователи, удаленные из этой группы, сохраняют право владения объектами, которые они создали, поэтому администратор ISA может удалять созданные им объекты, хотя больше не имеет роли управления ISA Server.

Администраирование isa server 2006

Рисунок 3: Пользователи сохраняют право владения созданными ими объектами

Открытие консоли управления ISA с нулевым доступом

Интересно также то, что происходит, когда пользователь пытается открыть консоль управления ISA Server 2006, не имея назначенной ему роли управления ISA Server 2006. Я пытался сделать это с учетной записью пользователя Auditor, которому не была назначена роль управления ISA Server. Результат показан на рисунке ниже.

Isa server 2006 мониторинг

Рисунок 4: Оповещение о том, что пользователь пытается открыть консоль управления, не имея назначенной ему роли управления

Тестирование концепции ролей ISA

В качестве следующего шага, я вошел на сервер под учетной записью пользователя Auditor, которому назначил роль ISA Server Auditor. Открыв консоль управления, я попытался создать новое правило брандмауэра, но не смог, поскольку роль ISA Server Auditor не имеет достаточных прав для создания правил брандмауэра.

Isa server удаленное администрирование

Рисунок 5: Роль ISA Server Auditor не имеет разрешения на создание правил брандмауэра

Определение административных ролей на уровне предприятия (Enterprise-Level)

ISA Server 2006 Enterprise также использует модель на основе ролей для создания администраторов предприятия и массива с предопределенными ролями. Пользователи с определенными ролями имеют право выполнять определенные задачи ISA Server. В ISA Server 2006 существует два вида ролей, роли уровня предприятия и уровня массива. В ISA Server 2006 Enterprise можно назначать следующие роли уровня предприятия:

Таблица 3: Роли ISA Server 2006 Enterprise
Роль ISA Server 2006 Enterprise Задачи
ISA Server Enterprise Administrator Эта роль дает полный контроль на предприятием и настройкой массивов предприятия. Пользователи с этой ролью могут создавать политики предприятий и применять их к массиву, управлять конфигурацией массива и назначать роли другим пользователям и группам.
ISA Server Enterprise Auditor Эта роль позволяет пользователям просматривать конфигурацию предприятия и конфигурацию всех массивов предприятия.
ISA Server Enterprise Policy Editor Пользователи с ролью Enterprise Аdministrator могут назначать определенные разрешения администрирования для определенных политик предприятия, ограничивая тем самым администрирование на уровне предприятия в рамках этих политик. Пользователь с ролью Enterprise Policy Editors может создавать правила для определенной политики предприятия, но не может создавать новые политики.

Дискреционный список контроля доступа (Discretionary Access Control Lists)

Когда ISA Server 2006 установлен, он использует дискреционный список контроля доступа (DACL) для настройки разрешений. ISA Server 2006 перенастраивает DACL каждый раз, когда перезапускается служба Microsoft ISA Server Control (ISACTRL) или когда вы добавляете новые административные роли ISA Server.

Заключение

В этой статье я предпринял попытку показать вам, как делегировать административные разрешения различным пользователям и группам пользователей для управления ISA Server 2006. Распределение администраторских прав брандмауэра часто требуется в производственных средах, где необходимо работать со множеством серверов ISA Servers, и администраторская работа осуществляется персоналом администрирования.

На мой взгляд делегирование администраторских разрешений в ISA Server 2006 крайне полезно для предприятий ISA Server 2006 Enterprise, поскольку в силу модели массива и производственной среды бывает очень полезно разделять администраторские разрешения для управления ISA Server 2006.

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]