Pokročilá správa OS - více úrovní adminů, hierarchie adminů?
Dobrý den,
prosím vás, většina nejpoužívanějších počítačových operačních systémů (různá distra a verze Linuxu, různé verze Windowsu, ...) rozeznává 3 typy uživatelů: a.) Root (v Linuxu)/Administrátor (ve Windowsu), b.) Běžný uživatel a c.) Host.
Potřebuji nastavit a zeptat se, jestli a jak je možné v systémech Linux (nejčastěji Ubuntu a Debian) a Windows (XP) vytvořit a nastavit něco jako více úrovní adminů, něco jako hierarchické úrovně adminů, kdy budou:
1.) Host (stačí klasicky jeden) bez vlastního účtu,
2.) Běžní uživatelé,
3.) Admini kteří budou moci spravovat systém, měnit nastavení systému, instalovat programy, připojovat zařízení, ...
4.) ale jeden admin jim bude nadřazený a nadřazenému adminovi nebude moci vůbec nikdo jiný ani žádný jiný admin ani prohlížet soubory, měnit heslo, mazat účet, ...ani nic jiného a účet nadřazeného admina bude pro všechny včetně ostatních adminů úplně nedotknutelný?
Moc to potřebuji pro potřeby počítačů sdílených mezi více uživateli, běžících na systémech Linux (nejčastěji Ubuntu a Debian) a Windows (nejčastěji XP) a některé na dualbootu Windows+Linux, kde potřebuji v Linuxu i ve Windowsu dát některým uživatelům tyto rozdílné úrovně oprávnění.
Děkuji moc.
ve Win XP těžko...
v Linuxu to jde (je tam SU) . Len nevím jak, toto som ešte neriešil...
windows: si tam zaveď "power users", ty můžeš omezit.
jenže ty chceš dualboot s tučňákem - tím si zároveň děláš ze zabezpečení windows výkladní skříň, přístupnou každému.
zapomeň na to.
A naopak.
Pravda, ale existují na to v obou směrech opatření (TrueCrypt a dm-crypt s LUKS pro Ubuntu který při instalaci nabízí i LVM a šifrování, suoder může adminovi náhled na partition windows odepřít).
Pro domácího usera co pohodí tyto systémy jen tak vedle sebe výraz "výkladní skříň" opravdu vystihuje.
V prípade dualboot Win+distro Linux, sa dá jedine obmedziť prístupové práva k zložkám, zvládnuť trustedinstaller, prípadne skryť celý oddiel ID HW 0x27 NTFS.
Linux zvysoka kašle na nejaké administrátorské čachre vykonané vo Windows.
A windows na linuxové.
V linuxu máš možnost granulárně řídit práva pomocí sudoers. Ale jakmile někomu dáš plná admin práva na možnost spustit shell, tak máš smolíka.
edit: pokud ostatním adminům nedůvěřuješ, máš zásadní problém. A uživatel nemá být adminem jen proto, aby mohl instalovat nebo dělat jiné "admin" věci. Na to jsou dostupné jiné nástroje a/nebo potřeba vyměnit admina, který neumí spravovat své systémy bez toho, aby dal užovkám zbytečná práva.
Granularitu oprávnění pod Windows lze i bez AD dirigovat přes skupiny místních uživatelů + gpedit, nicméně v doméně je to snazší, definuješ skupiny v AD a pomocí doménových GPO pak zajistíš úrovně přístupů a povolení na stanicích..
"Nedotknutelnost" admina rozhodně zaijstit nelze, pokud nemáš jen a právě jednoho správce (fyzickou osobu). Jakmile je adminů více, vždycky budou mít oprávnění měnit a prohlížet ostatní adminy na stejné úrovni - tedy pokud se bavíme o doménových sítích. Pokud jde o lokálního admina, a práci na jednotlivých oddělených počítačích, které spolu komunikují maximálně na úrovni sdílení, pak tato podmínka platí, nikdo adminovi nemůže koukat pod ruce - pokud si ho někdo, kdo má fyzický příštup k počítači, nelouskne..
Pre Windows(XP) a snáď aj vyššie verzie existuje jednoduchý graficky prívetivý program, ktorý obmedzuje všetko na čo si zmyslíš aj disketovú jednotku. Kedisy dávno som ho skúšal. Linux je v tomto 100 rokov za opicami. Tam sa musí cez konzolu a hrabať sa vo všelijakých konfigurákoch. Nie, že by sa to nedalo, akurát je to o hodne zložitejšie.