Администрирование на основе ролей в ISA Server 2006

ISA Server 2006 позволяет делегировать административные разрешения отдельным пользователям, чтобы делать модель администрирования более гибкой. ISA Server 2006 использует две различные модели для назначения разрешений отдельным пользователям. ISA Server 2006 Standard использует простую модель, которая контролирует доступ к определенным элементам конфигурации ISA. ISA Server 2006 Enterprise использует более распределенную модель, позволяющую назначать разрешения на уровне предприятия и массива.

Таблица 1: Роли ISA Server 2006 Standard

Роли ISA Server 2006 Standard	Задачи
ISA Server Monitoring Auditor	Пользователи, которым назначена эта роль, могут производить мониторинг ISA Server 2006, но не могут просматривать конфигурацию ISA Server.
ISA Server Auditor	Пользователи и группы, которым назначена эта роль, могут осуществлять все действия мониторинга, такие как настройка логов брандмауэра, определение оповещений ISA, и могут просматривать, но не могут изменять конфигурацию ISA Server 2006.
ISA Server Full Administrator	Пользователи и группы, которым назначена эта роль, могут выполнять любые задачи на ISA Server 2006. Это роль дает пользователям максимальные права для администрирования ISA Server 2006.

Каждому пользователю Windows или группе Windows могут быть назначены разрешения этих ролей ISA Server. Для этого не требуется никаких специальных привилегий или разрешений Windows.

Заметка:Есть одно исключение к сказанному выше. Когда пользователь пытается открыть Perfmon для просмотра счетчиков производительности ISA Server 2006 Performance или панель инструментов ISA Server Dashboard, его/ее учетная запись должна входить в состав группы Windows Server 2003 Performance Monitor User.

Для назначения административных ролей запустите консоль ISA Server 2006 Management, правой клавишей нажмите на свойствах объекта сервера и выберите в навигационном меню вкладку «Назначить роли». Вы должны быть администратором с ролью 'ISA Server Full Administrator', чтобы делегировать разрешения.

Нажмите «Добавить», чтобы выбрать пользователя или группу, которым вы хотите назначить специальные роли.

Рисунок 1: Назначение ролей управления ISA

После выбора пользователя или группы выберите роль, которую вы хотите назначить этому пользователю или группе.

Рисунок 2: Выбор роли управления

Пример разрешения ролей ISA Server

Таблица 2: Детальное разрешение ISA Server 2006 (Источник: Role-based Administration in ISA Server 2006)

Действие	ISA Server Monitoring Auditor	ISA Server Auditor	ISA Server Full Administrator
Просмотр панели инструментов, предупреждений, подключаемости, сеансов, сервисов	Разрешено	Разрешено	Разрешено
Подтверждение предупреждений	Разрешено	Разрешено	Разрешено
Просмотр информации логов	Не разрешено	Разрешено	Разрешено
Создание определений предупреждений	Не разрешено	Не разрешено	Разрешено
Создание отчетов	Не разрешено	Разрешено	Разрешено
Остановка и запуск сеансов и служб	Не разрешено	Разрешено	Разрешено
Просмотр политики брандмауэра	Не разрешено	Разрешено	Разрешено
Настройка политики брандмауэра	Не разрешено	Не разрешено	Разрешено
Настройка кэша	Не разрешено	Не разрешено	Разрешено
Настройка виртуальной частной сети (VPN)	Не разрешено	Не разрешено	Разрешено

Внимание: Если вы удалите назначенную для определенного пользователя или группы пользователей роль управления ISA, то пользователи, удаленные из этой группы, сохраняют право владения объектами, которые они создали, поэтому администратор ISA может удалять созданные им объекты, хотя больше не имеет роли управления ISA Server.

Рисунок 3: Пользователи сохраняют право владения созданными ими объектами

Открытие консоли управления ISA с нулевым доступом

Интересно также то, что происходит, когда пользователь пытается открыть консоль управления ISA Server 2006, не имея назначенной ему роли управления ISA Server 2006. Я пытался сделать это с учетной записью пользователя Auditor, которому не была назначена роль управления ISA Server. Результат показан на рисунке ниже.

Рисунок 4: Оповещение о том, что пользователь пытается открыть консоль управления, не имея назначенной ему роли управления

Тестирование концепции ролей ISA

В качестве следующего шага, я вошел на сервер под учетной записью пользователя Auditor, которому назначил роль ISA Server Auditor. Открыв консоль управления, я попытался создать новое правило брандмауэра, но не смог, поскольку роль ISA Server Auditor не имеет достаточных прав для создания правил брандмауэра.

Рисунок 5: Роль ISA Server Auditor не имеет разрешения на создание правил брандмауэра

Определение административных ролей на уровне предприятия (Enterprise-Level)

ISA Server 2006 Enterprise также использует модель на основе ролей для создания администраторов предприятия и массива с предопределенными ролями. Пользователи с определенными ролями имеют право выполнять определенные задачи ISA Server. В ISA Server 2006 существует два вида ролей, роли уровня предприятия и уровня массива. В ISA Server 2006 Enterprise можно назначать следующие роли уровня предприятия:

Таблица 3: Роли ISA Server 2006 Enterprise

Роль ISA Server 2006 Enterprise	Задачи
ISA Server Enterprise Administrator	Эта роль дает полный контроль на предприятием и настройкой массивов предприятия. Пользователи с этой ролью могут создавать политики предприятий и применять их к массиву, управлять конфигурацией массива и назначать роли другим пользователям и группам.
ISA Server Enterprise Auditor	Эта роль позволяет пользователям просматривать конфигурацию предприятия и конфигурацию всех массивов предприятия.
ISA Server Enterprise Policy Editor	Пользователи с ролью Enterprise Аdministrator могут назначать определенные разрешения администрирования для определенных политик предприятия, ограничивая тем самым администрирование на уровне предприятия в рамках этих политик. Пользователь с ролью Enterprise Policy Editors может создавать правила для определенной политики предприятия, но не может создавать новые политики.

Дискреционный список контроля доступа (Discretionary Access Control Lists)

Когда ISA Server 2006 установлен, он использует дискреционный список контроля доступа (DACL) для настройки разрешений. ISA Server 2006 перенастраивает DACL каждый раз, когда перезапускается служба Microsoft ISA Server Control (ISACTRL) или когда вы добавляете новые административные роли ISA Server.

Заключение

В этой статье я предпринял попытку показать вам, как делегировать административные разрешения различным пользователям и группам пользователей для управления ISA Server 2006. Распределение администраторских прав брандмауэра часто требуется в производственных средах, где необходимо работать со множеством серверов ISA Servers, и администраторская работа осуществляется персоналом администрирования.

На мой взгляд делегирование администраторских разрешений в ISA Server 2006 крайне полезно для предприятий ISA Server 2006 Enterprise, поскольку в силу модели массива и производственной среды бывает очень полезно разделять администраторские разрешения для управления ISA Server 2006.

Дополнительные ссылки

• Role-based Administration in ISA Server 2006
• Enterprise Management in ISA Server 2006
• Security Guide