WSFC AD权限规划

长久以来老王一直发现一个问题似乎有很多人对于WSFC群集的权限存在一些误解以为只有域administrator才可以装或者要Domain admins才可以装

其实WSFC的安装并不需要那么大的权限在本文中老王将为大家分享WSFC AD权限规划我们将尽可能采用最小化权限的原则来进行设计

主要围绕两种场景

1.最小化权限

2.预先置备CNO

之前博客中也曾经和大家提到过群集的创建过程以WSFC 2012时代之后为例当我们输入群集名称后群集会使用我们当前的执行账号去AD里面创建CNO对象去DNS中创建CNO DNS记录默认情况下AD里面的普通用户也可以去DNS中注册记录所以对于CNO的DNS记录我们不用Care我们需要关心的就是CNO的权限与VCO的权限

首先创建一个群集用户cluadmin 权限默认

将该账户通过组策略下发也好或手动添加也好加入到群集各节点本地管理员组

这是第一个要添加的权限因为执行创建群集向导必须要本地管理员权限才可以

第一步做完之后我们接着来思考既然你创建群集向导要连到AD创建CNO那么肯定是需要对AD有写入权限吧这个写入的权限其实并不需要直接给赋予domain admins 或enterprise admins那么大的权限群集管理账户或群集管理账户组只需要对于OU具备 创建计算机对象 读取所有属性 权限即可创建CNO对象完成需要的工作

在2008时代创建CNO默认只会在默认计算机OU生成WSFC 2012时代开始默认情况下将跟随节点在群集节点所在OU创建CNO我们也可以在创建群集过程中指定要把CNO创建到具体哪个OU下面后面老王会为大家演示

打开ADUC -> 选定CNO要被生成在的OU -> 属性 -> 安全

添加cluadmin 赋予 创建计算机对象 及 读取所有属性权限

到这里对于我们创建CNO对象的最小权限设计就已经完成了这就是创建这一步群集所需要的权限现在我们在群集节点上使用cluadmin用户登录就可以在指定的OU下面创建CNO

可以看到在WSFC 2012之后支持创建群集CNO在指定OU下

创建完成后可以正常看到CNO及DNS记录

事件管理器中可以看到并无报错群集得到了正常的生成

到这里我们使用最小化权限完成了WSFC群集的搭建

那么下一步我们需要在WSFC上面跑应用创建VCO之前我们说过VCO的创建管理是由CNO来负责那么我们还需要在OU上面赋予CNO计算机账户创建VCO的权限

同样CNO只需要对于OU的 创建计算机对象 及 读取所有属性权限因为从2012开始VCO默认和CNO创建在相同OU下所以我们只要对CNO所在OU赋予CNO的权限即可。

除了AD外VCO还需要DNS记录VCO的DNS记录也是由CNO负责创建维护因此需要确保CNO计算机账户对于DNS区域有修改权限创建权限删除权限可选如不选择到时可能需手动清理CNO DNS

赋予完成CNO的OU权限和DNS权限后下面创建VCO发现已经可以正常写入AD和DNS

到这里我们就通过了最小化的权限来成功的创建了群集并且完成了群集上层的应用搭建这就是群集创建起来所需要的所有权限That‘s it That‘s all

让我们来总结下

  • 对于群集创建账户要求是各节点本地管理组成员
  • 创建计算机对象 及 读取所有属性权限
  • 群集CNO对于所在OU具备创建计算机对象 及 读取所有属性权限
  • 群集CNO对于DNS区域具备创建记录修改记录权限
  • CNO对象对VCO对象需具备重设密码权限默认情况下通过CNO创建的VCO具备该权限

今后您再创建群集不再需要每次都使用administrator或domain admins您可以通过这样权限更小的账号来完成创建群集的工作

不过这种模式虽然安全了一点但也有它随之带来的麻烦即AD管理员需要为群集赋予权限两次

  1. 赋予创建群集的用户权限
  2. 群集创建完成后赋予CNO权限

这里的关键在于一旦我们选择了这种模型就代表了AD管理员信赖群集管理员把群集创建的工作交给了群集管理员完成我可以给它这样低的权限它也可以完成工作这很好对于AD管理员来说这比以前让他们使用administrator好多了但是每次需要赋予两次权限这个或多或少都有一点麻烦因为第二步CNO对象的权限赋予只有在创建完成群集后才能产生CNO对象。

所以~除了这种传统方式外我们还有预置群集计算机账号的方式

传统方式下是由AD管理员赋予个权限然后让群集管理员连到AD创建

通过预置我们可以事先就在AD里面创建好CNO对象

例如群集管理员把要建立的群集名称告诉AD管理员AD管理员事先在某个规划好的OU下面创建CNO计算机对象 并禁用

之后群集管理员创建群集时直接连接到AD自动激活启用事先创建好的CNO对象

AD管理员也可以事先就把CNO创建VCO的OU权限赋予好因为CNO已经预置好了这样只需要赋予一次权限就可以了也更加省事

这种预置方案特别适合那些对于创建变更要求严格的地方要求一切都按照事先规划好的完成那么预置是最好的选择了

通过预置也减少了群集管理员误操作的风险一切都使用事先规划好的对象

如果我们通过预置方案甚至可以不必为cluadmin授予创建计算机的权限因为创建计算机的操作会事先由AD管理员操作

预置CNO对象操作步骤

  1. AD管理员按照群集管理员告知的名称创建计算机对象并禁用

2. 点击计算机对象->属性->安全赋予cluadmin账户对于CNO对象具备完全控制权限

如果接下来群集还需要创建VCO对象那么您有两种方案可以选择

  1. 手动赋予CNO对象对于所在OU具备创建计算机对象 及 读取所有属性权限应用于范围此对象”和“所有后代”
  2. 预置VCO对象

    =/li>

由于手动赋予权限的办法我们上面已经做过所以这里不再演示唯一区别在于如果不预置我们需要等待创建完成群集后再次赋予CNO创建VCO的权限使用预置我们可以直接一次做掉交付给群集管理员。

预置VCO对象操作步骤

  1. 创建VCO计算机对象并禁用

2.赋予CNO计算机对象对于VCO计算机对象具备完全控制权限

赋予CNO对象对于DNS区域具备修改及创建权限

按照规划好的名称创建群集

检测到使用cluadmin账户且已经赋予完全控制权限自动联机激活之前已被创建好的禁用计算机账户

DNS记录也已经得到正确注册

按照事先规划好的名称创建DTC VCO对象

群集检测到当前VCO对象存在且CNO对象对于VCO对象具备权限将自动联机启动预置VCO对象

VCO DNS记录也得到正确创建

回顾一下WSFC传统AD模型的权限需求

  1. 创建群集的执行账户要求是各节点本地管理员
  2. 创建群集的账户需要对目标OU具备创建计算机对象 及 读取所有属性权限
  3. 创建VCO的CNO对象需要对所在OU具备创建计算机对象 及 读取所有属性权限
  4. 创建VCO的CNO对象需要对DNS区域具备创建修改权限
  5. 确认CNO对象对VCO对象具备重设密码权限默认情况下通过CNO创建的VCO具备

只要满足这五个条件我们就可以创建一个正常的AD依赖群集及上层应用。

如果采用预置对象的方案我们可以不用授予创建群集执行账户与CNO对于OU的权限直接赋予创建群集执行账户具备CNO完全控制权限授予CNO对于VCO具备完全控制权限即可。DNS区域权限仍需赋予但使用预置对象方案让WSFC AD权限对象更加合规化

以上为老王实际验证而得对于传统WSFC群集AD权限的需求以及如何使用最小化权限实现WSFC权限需求希望能够为感兴趣的朋友带来收获

时间: 2024-10-15 19:53:25

WSFC AD权限规划的相关文章

企业sudo权限规划详解 (实测一个堆命令搞定)

简述问题: 随着公司的服务器越来越多,人员流动性也开始与日俱增,以往管理服务器的陈旧思想应当摒弃,公司需要有 更好更完善的权限体系,经过多轮沟通和协商,公司一致决定重新整理规划权限体系,主管明确指出权限存在的问 题,并需要解决以往的root权限泛滥问题. 我作为本次权限规划的发起人,我了解到了公司现状后,经过多次与相关员工及领导沟通,确认了公司存在的 部分问题:  运维部基本入职离职流程中存在一些账号问题: 如  离职不报备,系统权限不回收.账号密码过于简单化 这样无疑给公司的服务器及数据安全造

②权限规划(sudo)

权限规划(sudo) 起草人:陈泰成 时间:2017年8月12日 一 问题简述 随着公司的服务器越来越多,人员流动性也开始与日俱增,以往管理服务器的陈旧思想(root权限随意给出,开发.测试.运维共用同一账号)应当摒弃,公司需要有更好更完善的权限体系,经过多轮沟通和协商,公司一致决定重新整理规划权限体系.运维主管明确指出权限存在的问题,并需要解决以往的root权限泛滥问题. 我作为本次权限规划的发起人,我首先了解到公司服务器权限现状后,经过多次与相关员工及领导沟通,确认了公司存在的部分问题:运维

Linux运维--企业sudo权限规划详解 (实测一个堆命令搞定)

简述问题: 随着公司的服务器越来越多,人员流动性也开始与日俱增,以往管理服务器的陈旧思想应当摒弃,公司需要有 更好更完善的权限体系,经过多轮沟通和协商,公司一致决定重新整理规划权限体系,主管明确指出权限存在的问 题,并需要解决以往的root权限泛滥问题. 我作为本次权限规划的发起人,我了解到了公司现状后,经过多次与相关员工及领导沟通,确认了公司存在的 部分问题:  运维部基本入职离职流程中存在一些账号问题: 如  离职不报备,系统权限不回收.账号密码过于简单化 这样无疑给公司的服务器及数据安全造

XenApp_XenDesktop_7.6实战篇之五:组织单元、用户(组)、权限规划及配置

对于本章节而言,对于组织单元.用户和权限的规划在企业环境当中是非常重要的,也是真正体现项目人员是否真的足够职业,但是此类规划往往会被大家所忽略.希望大家在平时的实验测试中就要抱着项目实战的心态,这样对以后的实战会有很大的帮助,也会养成良好的习惯. 1.  组织单元.用户和用户组规划 1.1 本次实验使用的OU规划如下 1.2 本次实验使用的用户用户组如下 2.  OU.Users和Groups的创建和配置 2.1  打开Active Directory 用户和计算机,按照以上的规划完成OU.Us

17Exchange Server 2010跨站点部署-AD站点规划部署

10.AD站点部署 10.1 创建站点 默认情况下,创建第一个AD的时候,会自动生成一个名为Default-First-Site-Name的站点,如下图所示 为了便于后续的管理,我这里更改默认的站点名称为GZ-Site 之前在讲到配置CAS Array的时候,已经提到,站点关联到阵列后,以后更新重命名站点,阵列内容也会更新 使用Get-ClientAccessArray查看当前阵列所对定的站点信息,可以看到更新到了GZ-Site 下面新增一个站点,使用dssite.msc命令或者在管理工具中打开

Linux ACL权限规划:getfacl,setfacl使用

转载  来源:Linux社区  作者:guodong810 ACL的使用 ACL即Access Control List 主要的目的是提供传统的owner,group,others的read,write,execute权限之外的具体权限设置,ACL可以针对单一用户.单一文件或目录来进行r,w,x的权限控制,对于需要特殊权限的使用状况有一定帮助.如,某一个文件,不让单一的某个用户访问. ACL使用两个命令来对其进行控制    getfacl:取得某个文件/目录的ACL设置项目    setfacl

Linux - 主机的细部权限规划:ACL 的使用

ACL 是 Access Control List 的缩写.基本的目的是在提供传统的 owner,group,others 的 read,write,execute 权限之外的细部权限配置.ACL 能够针对单一使用者,单一文件或文件夹来进行 r,w,x 的权限规范,对于须要特殊权限的使用状况很有帮助. 那 ACL 主要能够针对哪些方面来控制权限呢?他主要能够针对几个项目: 使用者 (user):能够针对使用者来配置权限. 群组 (group):针对群组为对象来配置其权限: 默认属性 (mask)

Linux 权限规划ACL

什么是ACL ACL是Access Control List的缩写,主要目的是提供传统的owner.group.others的read.write.execute权限之外的具体权限设置 ACL可以针对单一用户.单一文件或者目录进行r.w.x的权限设置,对需要特殊权限的使用状况非常有帮助. ACL主要针对哪些方面来控制权限: - 用户(user):针对用户设置权限: - 用户组(group):针对用户组来设置权限: - 默认权限(mask):还可以在该目录下咋新建文件/目录时设置新数据的默认权限.

微软WSFC全方位解析

Windows Server Failover Clustering是微软重要的Windows Server功能,它为微软众多企业级平台提供底层高可用机制,掌握WSFC的概念原理,功能使用,故障排错将对管理员运维有很大帮助,本系列文章将从WSFC的概念介绍,功能使用,故障排错,性能优化,WSFC 2016新功能解析等多个层面来为大家介绍WSFC,一层层揭开它的神秘面纱,让更多朋友知道它,使用它 WSFC概念与管理操作知识补遗21篇: 浅谈群集与分布式基础知识 http://blog.51cto.