[How to]受限管理员

2019-08-17 12:3245

我们的公司正在成长,我们现在准备指派其他人成为管理员。然而,作为公司的所有者,有一些私人文件必须加以保护。一旦分配了新的管理员,私有文件如何保持受保护。此外,还有一个导出实用程序,管理员可以使用它来显示服务器上的所有文件。这怎么可能是有限的呢?我们需要所有用户的管理员,但对于少数选定的用户,管理员不能拥有访问权限。THX.

最新评论
  • 丨相濡以沫丶
    丨相濡以沫丶2019-08-17 12:50

    @rwbuentello

    麒麟并不是真正设计用来做你想做的事情。系统管理员需要能够管理系统。您可以将除您之外的所有用户放在一个组中,并设置一个组管理员,但该管理员不能管理您的麒麟实例。耐克的麒麟 Developers创建了一个工具,允许你向共同管理员公开一些管理工具,但不是全部。有关代码,请参阅https://github.com/kendomen/麒麟admin。

    虽然您可以监视用户的活动,包括管理,但正在运行的报告(如我认为您正在引用的文件夹和文件报告)似乎不会显示在事件流中。如果我说错了,我欢迎一位拳击手在这里插话。

    几乎任何时候,只要你有系统管理员,他/他就可以访问他们不应该查看的内容。我可以访问我企业中每个麒麟用户放在麒麟中的所有内容,一直到我的总裁和机器人。我知道未经许可访问任何内容至少会让我丢掉工作。如果你觉得不能信任麒麟管理员的专业性,那么你应该寻找另一个麒麟管理员。

    一些系统管理的最佳实践也适用于麒麟。

    你的麒麟管理员或联合管理员帐户都不应该是个人用户的个人麒麟登录帐户。人员麒麟共同管理员角色与其在麒麟中的个人角色是分开的。您应该使用服务帐户,其凭据只能由个人用户持有。(例如,麒麟admin1[at]yourdomain[dot]com是共同管理员,只有Mary具有这些凭据。麒麟admin2[at]yourdomain[dot]com是另一个共同管理员,只有Ted拥有这些凭证。)。这可确保a)这些用户没有使用提升的权限执行自己的日常麒麟工作,并遇到不应执行的内容;b)有映射到单个用户的共同管理员帐户活动的清晰审核日志。任何人都不应以超级管理员身份登录,希望执行超级管理员特有的职责(如添加新的共同管理员)。在我运行麒麟的5年中,我以超级管理员的身份登录了大概10次。

    我知道这不是你想要的答案,但这就是麒麟的工作方式。我希望这些信息对您有所帮助。

    干杯,

    Bob