長(zhǎng)久以來老王一直發(fā)現(xiàn)一個(gè)問題，似乎有很多人對(duì)于WSFC群集的權(quán)限存在一些誤解，以為只有域administrator才可以裝，或者要Domain admins才可以裝

濰坊ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書未來市場(chǎng)廣闊！成為創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

  其實(shí)WSFC的安裝并不需要那么大的權(quán)限，在本文中老王將為大家分享WSFC AD權(quán)限規(guī)劃，我們將盡可能采用最小化權(quán)限的原則來進(jìn)行設(shè)計(jì)。

  主要圍繞兩種場(chǎng)景

   1.最小化權(quán)限

   2.預(yù)先置備CNO

  之前博客中也曾經(jīng)和大家提到過群集的創(chuàng)建過程，以WSFC 2012時(shí)代之后為例，當(dāng)我們輸入群集名稱后，群集會(huì)使用我們當(dāng)前的執(zhí)行賬號(hào)去AD里面創(chuàng)建CNO對(duì)象，去DNS中創(chuàng)建CNO DNS記錄，默認(rèn)情況下AD里面的普通用戶也可以去DNS中注冊(cè)記錄，所以對(duì)于CNO的DNS記錄我們不用Care，我們需要關(guān)心的就是CNO的權(quán)限與VCO的權(quán)限。

  首先創(chuàng)建一個(gè)群集用戶cluadmin 權(quán)限默認(rèn)

將該賬戶通過組策略下發(fā)也好或手動(dòng)添加也好加入到群集各節(jié)點(diǎn)本地管理員組

這是第一個(gè)要添加的權(quán)限因?yàn)閳?zhí)行創(chuàng)建群集向?qū)П仨氁?strong>本地管理員權(quán)限才可以

第一步做完之后我們接著來思考，既然你創(chuàng)建群集向?qū)бB到AD創(chuàng)建CNO，那么肯定是需要對(duì)AD有寫入權(quán)限吧，這個(gè)寫入的權(quán)限其實(shí)并不需要直接給賦予domain admins 或enterprise admins那么大的權(quán)限，群集管理賬戶或群集管理賬戶組只需要對(duì)于OU具備 創(chuàng)建計(jì)算機(jī)對(duì)象及 讀取所有屬性權(quán)限即可創(chuàng)建CNO對(duì)象完成需要的工作。

在2008時(shí)代創(chuàng)建CNO默認(rèn)只會(huì)在默認(rèn)計(jì)算機(jī)OU生成，WSFC 2012時(shí)×××始默認(rèn)情況下將跟隨節(jié)點(diǎn)，在群集節(jié)點(diǎn)計(jì)算機(jī)對(duì)象所在OU創(chuàng)建CNO，我們也可以在創(chuàng)建群集過程中指定要把CNO創(chuàng)建到具體哪個(gè)OU下面，后面老王會(huì)為大家演示。

打開ADUC -> 選定CNO要被生成在的OU -> 屬性 -> 安全

添加cluadmin 賦予 創(chuàng)建計(jì)算機(jī)對(duì)象及 讀取所有屬性權(quán)限

到這里對(duì)于我們創(chuàng)建CNO對(duì)象的最小權(quán)限設(shè)計(jì)就已經(jīng)完成了，這就是創(chuàng)建群集這一步所需要的權(quán)限，現(xiàn)在我們?cè)谌杭?jié)點(diǎn)上使用cluadmin用戶登錄就可以在指定的OU下面創(chuàng)建CNO

可以看到在WSFC 2012之后支持創(chuàng)建群集CNO在指定OU下

創(chuàng)建完成后可以正?？吹紺NO及DNS記錄

事件管理器中可以看到并無報(bào)錯(cuò)，群集得到了正常的生成

到這里我們使用最小化權(quán)限完成了WSFC群集的搭建

那么下一步我們需要在WSFC上面跑應(yīng)用創(chuàng)建VCO，之前我們說過VCO的創(chuàng)建管理是由CNO來負(fù)責(zé)，那么我們還需要在OU上面賦予CNO計(jì)算機(jī)賬戶創(chuàng)建VCO的權(quán)限。

同樣CNO只需要對(duì)于OU的 創(chuàng)建計(jì)算機(jī)對(duì)象及 讀取所有屬性權(quán)限，因?yàn)閺?012開始VCO默認(rèn)和CNO創(chuàng)建在相同OU下，所以我們只要對(duì)CNO所在OU賦予CNO的權(quán)限即可。

除了AD外VCO還需要DNS記錄，VCO的DNS記錄也是由CNO負(fù)責(zé)創(chuàng)建維護(hù)，因此需要確保CNO計(jì)算機(jī)賬戶對(duì)于DNS區(qū)域有 修改權(quán)限創(chuàng)建權(quán)限，刪除權(quán)限可選，如不選擇到時(shí)可能需手動(dòng)清理CNO DNS記錄。

賦予完成CNO的OU權(quán)限和DNS權(quán)限后，下面創(chuàng)建VCO發(fā)現(xiàn)已經(jīng)可以正常寫入AD和DNS

到這里我們就通過了最小化的權(quán)限來成功的創(chuàng)建了群集并且完成了群集上層的應(yīng)用搭建，這就是群集創(chuàng)建起來所需要的所有權(quán)限  That's it That's all 

讓我們來總結(jié)下

• 對(duì)于群集創(chuàng)建賬戶要求是各節(jié)點(diǎn)本地管理組成員

• 創(chuàng)建計(jì)算機(jī)對(duì)象 及 讀取所有屬性權(quán)限

• 群集CNO對(duì)于所在OU具備創(chuàng)建計(jì)算機(jī)對(duì)象及 讀取所有屬性權(quán)限

• 群集CNO對(duì)于DNS區(qū)域具備創(chuàng)建記錄修改記錄權(quán)限

• CNO對(duì)象對(duì)VCO對(duì)象需具備重設(shè)密碼權(quán)限默認(rèn)情況下通過CNO創(chuàng)建的VCO具備該權(quán)限

今后您再創(chuàng)建群集不再需要每次都使用administrator或domain admins，您可以通過這樣權(quán)限更小的賬號(hào)來完成創(chuàng)建群集的工作。

不過這種模式雖然安全了一點(diǎn) 但也有它隨之帶來的麻煩即AD管理員需要為群集賦予權(quán)限兩次

1. 賦予創(chuàng)建群集的用戶權(quán)限

2. 群集創(chuàng)建完成后賦予CNO權(quán)限

這里的關(guān)鍵在于，一旦我們選擇了這種模型就代表了AD管理員信賴群集管理員把群集創(chuàng)建的工作交給了群集管理員完成，我可以給它這樣低的權(quán)限，它也可以完成工作，這很好，對(duì)于AD管理員來說這比以前讓他們使用administrator好多了，但是每次需要賦予兩次權(quán)限這個(gè)或多或少都有一點(diǎn)麻煩，因?yàn)榈诙紺NO對(duì)象的權(quán)限賦予 只有在創(chuàng)建完成群集后才能產(chǎn)生CNO

所以~ 除了這種傳統(tǒng)方式外我們還有預(yù)置群集計(jì)算機(jī)賬號(hào)的方式

傳統(tǒng)方式下是由AD管理員賦予個(gè)權(quán)限然后讓群集管理員連到AD創(chuàng)建

通過預(yù)置我們可以事先就在AD里面創(chuàng)建好CNO對(duì)象

例如，群集管理員把要建立的群集名稱告訴AD管理員，AD管理員事先在某個(gè)規(guī)劃好的OU下面創(chuàng)建CNO計(jì)算機(jī)對(duì)象 并禁用。

之后群集管理員創(chuàng)建群集時(shí)，直接連接到AD，自動(dòng)激活啟用事先創(chuàng)建好的CNO對(duì)象。

AD管理員也可以事先就把CNO創(chuàng)建VCO的OU權(quán)限賦予好，因?yàn)镃NO已經(jīng)預(yù)置好了，這樣只需要賦予一次權(quán)限就可以了，也更加省事。

這種預(yù)置方案特別適合那些對(duì)于創(chuàng)建變更要求嚴(yán)格的地方，要求一切都按照事先規(guī)劃好的完成，那么預(yù)置是最好的選擇了。

通過預(yù)置也減少了群集管理員誤操作的風(fēng)險(xiǎn)，一切都使用事先規(guī)劃好的對(duì)象

如果我們通過預(yù)置方案甚至可以不必為cluadmin授予創(chuàng)建計(jì)算機(jī)的權(quán)限，因?yàn)閯?chuàng)建計(jì)算機(jī)的操作會(huì)事先由AD管理員進(jìn)行。

預(yù)置CNO對(duì)象操作步驟

AD管理員按照 群集管理員 告知的名稱 創(chuàng)建計(jì)算機(jī)對(duì)象 并禁用

點(diǎn)擊計(jì)算機(jī)對(duì)象->屬性->安全賦予cluadmin賬戶對(duì)于CNO對(duì)象具備完全控制權(quán)限

如果接下來群集還需要?jiǎng)?chuàng)建VCO對(duì)象，那么您有兩種方案可以選擇

1. 手動(dòng)賦予CNO對(duì)象對(duì)于所在OU具備 創(chuàng)建計(jì)算機(jī)對(duì)象及 讀取所有屬性權(quán)限，應(yīng)用于范圍此對(duì)象”和“所有后代”

2. 預(yù)置VCO對(duì)象

由于手動(dòng)賦予權(quán)限的辦法我們上面已經(jīng)做過，所以這里不再演示，唯一區(qū)別在于如果不預(yù)置，我們需要等待創(chuàng)建完成群集后，再次賦予CNO創(chuàng)建VCO的權(quán)限，使用預(yù)置我們可以直接一次做掉交付給群集管理員。

預(yù)置VCO對(duì)象操作步驟

創(chuàng)建VCO計(jì)算機(jī)對(duì)象并禁用

賦予CNO計(jì)算機(jī)對(duì)象對(duì)于VCO計(jì)算機(jī)對(duì)象具備完全控制權(quán)限

賦予CNO對(duì)象對(duì)于DNS區(qū)域具備修改及創(chuàng)建權(quán)限

按照規(guī)劃好的名稱創(chuàng)建群集

檢測(cè)到使用的cluadmin賬戶已經(jīng)賦予對(duì)目標(biāo)CNO對(duì)象具備完全控制權(quán)限，自動(dòng)聯(lián)機(jī)激活之前已被創(chuàng)建好的禁用CNO計(jì)算機(jī)賬戶

DNS記錄也已經(jīng)得到正確注冊(cè)

按照事先規(guī)劃好的名稱創(chuàng)建DTC VCO對(duì)象

群集檢測(cè)到當(dāng)前VCO對(duì)象存在 且CNO對(duì)象對(duì)于VCO對(duì)象具備權(quán)限 將自動(dòng)聯(lián)機(jī)啟動(dòng)預(yù)置VCO對(duì)象

VCO DNS記錄也得到正確創(chuàng)建

回顧一下WSFC傳統(tǒng)AD模型的權(quán)限需求

1. 創(chuàng)建群集的執(zhí)行賬戶要求是各節(jié)點(diǎn)本地管理員

2. 創(chuàng)建群集的賬戶需要對(duì)目標(biāo)OU具備創(chuàng)建計(jì)算機(jī)對(duì)象及 讀取所有屬性權(quán)限

3. 創(chuàng)建VCO的CNO對(duì)象需要對(duì)所在OU具備創(chuàng)建計(jì)算機(jī)對(duì)象及 讀取所有屬性權(quán)限

4. 創(chuàng)建VCO的CNO對(duì)象需要對(duì)DNS區(qū)域具備創(chuàng)建修改權(quán)限

5. 確認(rèn)CNO對(duì)象對(duì)VCO對(duì)象具備重設(shè)密碼權(quán)限默認(rèn)情況下通過CNO創(chuàng)建的VCO具備

只要滿足這五個(gè)條件，我們就可以創(chuàng)建一個(gè)正常的AD依賴群集及上層應(yīng)用。

如果采用預(yù)置對(duì)象的方案，我們可以不用授予創(chuàng)建群集執(zhí)行賬戶權(quán)限與CNO對(duì)于OU的權(quán)限，直接賦予創(chuàng)建群集執(zhí)行賬戶具備CNO完全控制權(quán)限，授予CNO對(duì)于VCO具備完全控制權(quán)限即可，DNS區(qū)域權(quán)限仍需賦予但使用預(yù)置對(duì)象方案讓W(xué)SFC AD權(quán)限對(duì)象更加合規(guī)化

以上為老王實(shí)際驗(yàn)證而得對(duì)于傳統(tǒng)WSFC群集AD權(quán)限的需求處理，以及如何使用最小化權(quán)限實(shí)現(xiàn)WSFC權(quán)限需求，希望能夠?yàn)楦信d趣的朋友帶來收獲

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

標(biāo)題名稱：WSFCAD權(quán)限規(guī)劃-創(chuàng)新互聯(lián)
文章出自：http://aaarwkj.com/article6/csosig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、營銷型網(wǎng)站建設(shè)、網(wǎng)站排名、網(wǎng)站導(dǎo)航、域名注冊(cè)、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)