Pokročilá správa OS - více úrovní adminů, hierarchie adminů?
Dobrý den,
prosím vás, většina nejpoužívanějších počítačových operačních systémů (různá distra a verze Linuxu, různé verze Windowsu, ...) rozeznává 3 typy uživatelů: a.) Root (v Linuxu)/Administrátor (ve Windowsu), b.) Běžný uživatel a c.) Host.
Potřebuji nastavit a zeptat se, jestli a jak je možné v systémech Linux (nejčastěji Ubuntu a Debian) a Windows (XP) vytvořit a nastavit něco jako více úrovní adminů, něco jako hierarchické úrovně adminů, kdy budou:
1.) Host (stačí klasicky jeden) bez vlastního účtu,
2.) Běžní uživatelé,
3.) Admini kteří budou moci spravovat systém, měnit nastavení systému, instalovat programy, připojovat zařízení, ...
4.) ale jeden admin jim bude nadřazený a nadřazenému adminovi nebude moci vůbec nikdo jiný ani žádný jiný admin ani prohlížet soubory, měnit heslo, mazat účet, ...ani nic jiného a účet nadřazeného admina bude pro všechny včetně ostatních adminů úplně nedotknutelný?
Moc to potřebuji pro potřeby počítačů sdílených mezi více uživateli, běžících na systémech Linux (nejčastěji Ubuntu a Debian) a Windows (nejčastěji XP) a některé na dualbootu Windows+Linux, kde potřebuji v Linuxu i ve Windowsu dát některým uživatelům tyto rozdílné úrovně oprávnění.
Děkuji moc.
Granularitu oprávnění pod Windows lze i bez AD dirigovat přes skupiny místních uživatelů + gpedit, nicméně v doméně je to snazší, definuješ skupiny v AD a pomocí doménových GPO pak zajistíš úrovně přístupů a povolení na stanicích..
"Nedotknutelnost" admina rozhodně zaijstit nelze, pokud nemáš jen a právě jednoho správce (fyzickou osobu). Jakmile je adminů více, vždycky budou mít oprávnění měnit a prohlížet ostatní adminy na stejné úrovni - tedy pokud se bavíme o doménových sítích. Pokud jde o lokálního admina, a práci na jednotlivých oddělených počítačích, které spolu komunikují maximálně na úrovni sdílení, pak tato podmínka platí, nikdo adminovi nemůže koukat pod ruce - pokud si ho někdo, kdo má fyzický příštup k počítači, nelouskne..
Pre Windows(XP) a snáď aj vyššie verzie existuje jednoduchý graficky prívetivý program, ktorý obmedzuje všetko na čo si zmyslíš aj disketovú jednotku. Kedisy dávno som ho skúšal. Linux je v tomto 100 rokov za opicami. Tam sa musí cez konzolu a hrabať sa vo všelijakých konfigurákoch. Nie, že by sa to nedalo, akurát je to o hodne zložitejšie.