Безопасное удаленное администрирование Windows
Одна из самых непротиворечивых концепций безопасности гласит, что без крайней необходимости работать под учетной записью администратора не следует. Особенно под учетной записью администратора домена. Однако, решение административных задач, требующих повышенных привилегий, эта концепция не отменяет. Удаленный доступ к серверу через Remote Desktop – это лишние телодвижения, да и, опять же, небезопасно. Наиболее подходящий путь – локальный запуск нужных оснасток управления с использованием команды RunAs, которая позволяет администратору выполнять любые задачи в системе, зарегистрировавшись в ней с использованием учетной записи рядового пользователя.
Для управления удаленными серверами Windows я использую пакеты Administrative Tools для своей клиентской ОС. Они доступны для загрузки с сайта Microsoft:
Windows Server 2003 Administration Tools Pack: http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en
Microsoft Remote Server Administration Tools for Windows Vista: http://www.microsoft.com/downloads/details.aspx?FamilyId=9FF6E897-23CE-4A36-B7FC-D52065DE9960&displaylang=en
Remote Server Administration Tools for Windows 7: http://www.microsoft.com/downloads/details.aspx?FamilyID=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en
Установив соответствующий вашей системе пакет администрирования, вы получите доступ прямо со своего компьютера к большинству оснасток управления серверами, таких как Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Users and Computers, Distributed File System, DNS, Group Policy Editor, DHCP и пр.
Для запуска любой из оснасток с привилегиями доменного администратора, применим команду RunAs. Например, запустим оснастку Active Directory Users and Computers от имени пользователя admin, принадлежащего к домену domain.ru:
Синтаксис RunAs достаточно прост, чаще всего с ней используются следующие ключи:
1) /user – имя пользователя;
2) /netonly – использование полномочий только для доступа к удаленным ресурсам;
3) /env – использование текущего окружения, без создания окружения, характерного для указанного ключем /user пользователя;
4) /profile – загрузка профиля пользователя;
5) /noprofile – загрузка профиля пользователя не будет осуществляться.
По аналогии можно запускать любую из оснасток, входящих в состав Administration Tools:
Active Directory Domains and Trusts — domain.msc
Active Directory Sites and Services — dssite.msc
Active Directory Users and Computers — dsa.msc
Computer Management — compmgmt.msc
Distributed File System — dfsgui.msc
DNS — dnsmgmt.msc
DHCP – dhcpmgmt.msc
Group Policy Editor — gpedit.msc
Local Security Settings — secpol.msc
Routing and Remote Access — rrasmgmt.msc
Само собой, оснастки для управления локальными ресурсами, которые по умолчанию установлены в любой Windows-системе, начиная с Windows XP, можно использовать и для администрирования удаленных систем. Приведу список самых используемых:
Services – services.msc
Device Manager — devmgmt.msc
Disk Management — diskmgmt.msc
Local Users and Groups — lusrmgr.msc
Shared Folders — fsmgmt.msc
Напоследок напомню, что для работы RunAs необходимо, чтобы была запущена служба Secondary Logon.