[madmax24]

Цитата ferrum2688:

Как ограничить админа? »

Админ такой же сотрудник как и остальные... Как например ограничить главбуха в своих возможностях? Или начальника тех службы? Как ограничить права уборщицы? По моему это одинаковые вопросы... Я думаю, что для этого существует должность начальник, должностные инструкции, санкции(в крайнем случае) и трезвая голова(в плане чтобы людей не дебилов подбирали). В ИТ сетях должен быть человек, который имеет право на все, по сути Бог(утрирую конечно).
А почему в ТЗ описываются права админа? Я думал там описывают как сеть должна быть структурирована, построена и проч подобные вещи....

[ferrum2688]

Сеть от админа можно защитить как ядерную кнопку от президента.

[madmax24]

ferrum2688, я не советчик в этом, по по-моему тогда роль админа, как такового не нужна. Если уборщице не давать ключи от кабинетов, в которых она моет, зачем она нужна?
На самом деле в никсах можно предоставить права admins, но при этом root'а не давать. В винде вряд ли такое выгорит.

[Michael]

Цитата ferrum2688:

Можно отдать половину пароля администратора начальнику, а половину админу, так чтобы по одиночке они не могли админить по полной »

Есть такая практика. Все настраивают, затем определяют права администратора. После этого пароль на доменного администратора задается двумя людьми. Обе половины пароля запечатываются в конверт. Определяется место хранения конверта, лицо ответственное за хранение, перечень лиц, присутствие которых обязятельно при вскрытии конверта, наказание за несанкционированное вскрытие и сам порядок вскрытия. Но такая практика применяется как правило в 2 случаях - нелояльный админ (гнать его в шею, если есть подозрения, что он может что-то умышленно натворить, потому что одна из основ информационной безопасности - админ должен быть лояльным), либо если на кону стоят больщие деньги.
А вообще madmax24 прав - это описывается не в ТЗ на локальную сеть, а в положении о внутренней/информационной безопасности.