長久以來老王一直發(fā)現(xiàn)一個問題，似乎有很多人對于WSFC群集的權(quán)限存在一些誤解，以為只有域administrator才可以裝，或者要Domain admins才可以裝

濰坊ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

  其實WSFC的安裝并不需要那么大的權(quán)限，在本文中老王將為大家分享WSFC AD權(quán)限規(guī)劃，我們將盡可能采用最小化權(quán)限的原則來進行設(shè)計。

  主要圍繞兩種場景

   1.最小化權(quán)限

   2.預先置備CNO

  之前博客中也曾經(jīng)和大家提到過群集的創(chuàng)建過程，以WSFC 2012時代之后為例，當我們輸入群集名稱后，群集會使用我們當前的執(zhí)行賬號去AD里面創(chuàng)建CNO對象，去DNS中創(chuàng)建CNO DNS記錄，默認情況下AD里面的普通用戶也可以去DNS中注冊記錄，所以對于CNO的DNS記錄我們不用Care，我們需要關(guān)心的就是CNO的權(quán)限與VCO的權(quán)限。

  首先創(chuàng)建一個群集用戶cluadmin 權(quán)限默認

將該賬戶通過組策略下發(fā)也好或手動添加也好加入到群集各節(jié)點本地管理員組

這是第一個要添加的權(quán)限因為執(zhí)行創(chuàng)建群集向?qū)П仨氁?strong>本地管理員權(quán)限才可以

第一步做完之后我們接著來思考，既然你創(chuàng)建群集向?qū)бB到AD創(chuàng)建CNO，那么肯定是需要對AD有寫入權(quán)限吧，這個寫入的權(quán)限其實并不需要直接給賦予domain admins 或enterprise admins那么大的權(quán)限，群集管理賬戶或群集管理賬戶組只需要對于OU具備 創(chuàng)建計算機對象及 讀取所有屬性權(quán)限即可創(chuàng)建CNO對象完成需要的工作。

在2008時代創(chuàng)建CNO默認只會在默認計算機OU生成，WSFC 2012時×××始默認情況下將跟隨節(jié)點，在群集節(jié)點計算機對象所在OU創(chuàng)建CNO，我們也可以在創(chuàng)建群集過程中指定要把CNO創(chuàng)建到具體哪個OU下面，后面老王會為大家演示。

打開ADUC -> 選定CNO要被生成在的OU -> 屬性 -> 安全

添加cluadmin 賦予 創(chuàng)建計算機對象及 讀取所有屬性權(quán)限

到這里對于我們創(chuàng)建CNO對象的最小權(quán)限設(shè)計就已經(jīng)完成了，這就是創(chuàng)建群集這一步所需要的權(quán)限，現(xiàn)在我們在群集節(jié)點上使用cluadmin用戶登錄就可以在指定的OU下面創(chuàng)建CNO

可以看到在WSFC 2012之后支持創(chuàng)建群集CNO在指定OU下

創(chuàng)建完成后可以正?？吹紺NO及DNS記錄

事件管理器中可以看到并無報錯，群集得到了正常的生成

到這里我們使用最小化權(quán)限完成了WSFC群集的搭建

那么下一步我們需要在WSFC上面跑應用創(chuàng)建VCO，之前我們說過VCO的創(chuàng)建管理是由CNO來負責，那么我們還需要在OU上面賦予CNO計算機賬戶創(chuàng)建VCO的權(quán)限。

同樣CNO只需要對于OU的 創(chuàng)建計算機對象及 讀取所有屬性權(quán)限，因為從2012開始VCO默認和CNO創(chuàng)建在相同OU下，所以我們只要對CNO所在OU賦予CNO的權(quán)限即可。

除了AD外VCO還需要DNS記錄，VCO的DNS記錄也是由CNO負責創(chuàng)建維護，因此需要確保CNO計算機賬戶對于DNS區(qū)域有 修改權(quán)限創(chuàng)建權(quán)限，刪除權(quán)限可選，如不選擇到時可能需手動清理CNO DNS記錄。

賦予完成CNO的OU權(quán)限和DNS權(quán)限后，下面創(chuàng)建VCO發(fā)現(xiàn)已經(jīng)可以正常寫入AD和DNS

到這里我們就通過了最小化的權(quán)限來成功的創(chuàng)建了群集并且完成了群集上層的應用搭建，這就是群集創(chuàng)建起來所需要的所有權(quán)限  That's it That's all 

讓我們來總結(jié)下

• 對于群集創(chuàng)建賬戶要求是各節(jié)點本地管理組成員

• 創(chuàng)建計算機對象 及 讀取所有屬性權(quán)限

• 群集CNO對于所在OU具備創(chuàng)建計算機對象及 讀取所有屬性權(quán)限

• 群集CNO對于DNS區(qū)域具備創(chuàng)建記錄修改記錄權(quán)限

• CNO對象對VCO對象需具備重設(shè)密碼權(quán)限默認情況下通過CNO創(chuàng)建的VCO具備該權(quán)限

今后您再創(chuàng)建群集不再需要每次都使用administrator或domain admins，您可以通過這樣權(quán)限更小的賬號來完成創(chuàng)建群集的工作。

不過這種模式雖然安全了一點 但也有它隨之帶來的麻煩即AD管理員需要為群集賦予權(quán)限兩次

1. 賦予創(chuàng)建群集的用戶權(quán)限

2. 群集創(chuàng)建完成后賦予CNO權(quán)限

這里的關(guān)鍵在于，一旦我們選擇了這種模型就代表了AD管理員信賴群集管理員把群集創(chuàng)建的工作交給了群集管理員完成，我可以給它這樣低的權(quán)限，它也可以完成工作，這很好，對于AD管理員來說這比以前讓他們使用administrator好多了，但是每次需要賦予兩次權(quán)限這個或多或少都有一點麻煩，因為第二步CNO對象的權(quán)限賦予 只有在創(chuàng)建完成群集后才能產(chǎn)生CNO

所以~ 除了這種傳統(tǒng)方式外我們還有預置群集計算機賬號的方式

傳統(tǒng)方式下是由AD管理員賦予個權(quán)限然后讓群集管理員連到AD創(chuàng)建

通過預置我們可以事先就在AD里面創(chuàng)建好CNO對象

例如，群集管理員把要建立的群集名稱告訴AD管理員，AD管理員事先在某個規(guī)劃好的OU下面創(chuàng)建CNO計算機對象 并禁用。

之后群集管理員創(chuàng)建群集時，直接連接到AD，自動激活啟用事先創(chuàng)建好的CNO對象。

AD管理員也可以事先就把CNO創(chuàng)建VCO的OU權(quán)限賦予好，因為CNO已經(jīng)預置好了，這樣只需要賦予一次權(quán)限就可以了，也更加省事。

這種預置方案特別適合那些對于創(chuàng)建變更要求嚴格的地方，要求一切都按照事先規(guī)劃好的完成，那么預置是最好的選擇了。

通過預置也減少了群集管理員誤操作的風險，一切都使用事先規(guī)劃好的對象

如果我們通過預置方案甚至可以不必為cluadmin授予創(chuàng)建計算機的權(quán)限，因為創(chuàng)建計算機的操作會事先由AD管理員進行。

預置CNO對象操作步驟

AD管理員按照 群集管理員 告知的名稱 創(chuàng)建計算機對象 并禁用

點擊計算機對象->屬性->安全賦予cluadmin賬戶對于CNO對象具備完全控制權(quán)限

如果接下來群集還需要創(chuàng)建VCO對象，那么您有兩種方案可以選擇

1. 手動賦予CNO對象對于所在OU具備 創(chuàng)建計算機對象及 讀取所有屬性權(quán)限，應用于范圍此對象”和“所有后代”

2. 預置VCO對象

由于手動賦予權(quán)限的辦法我們上面已經(jīng)做過，所以這里不再演示，唯一區(qū)別在于如果不預置，我們需要等待創(chuàng)建完成群集后，再次賦予CNO創(chuàng)建VCO的權(quán)限，使用預置我們可以直接一次做掉交付給群集管理員。

預置VCO對象操作步驟

創(chuàng)建VCO計算機對象并禁用

賦予CNO計算機對象對于VCO計算機對象具備完全控制權(quán)限

賦予CNO對象對于DNS區(qū)域具備修改及創(chuàng)建權(quán)限

按照規(guī)劃好的名稱創(chuàng)建群集

檢測到使用的cluadmin賬戶已經(jīng)賦予對目標CNO對象具備完全控制權(quán)限，自動聯(lián)機激活之前已被創(chuàng)建好的禁用CNO計算機賬戶

DNS記錄也已經(jīng)得到正確注冊

按照事先規(guī)劃好的名稱創(chuàng)建DTC VCO對象

群集檢測到當前VCO對象存在 且CNO對象對于VCO對象具備權(quán)限 將自動聯(lián)機啟動預置VCO對象

VCO DNS記錄也得到正確創(chuàng)建

回顧一下WSFC傳統(tǒng)AD模型的權(quán)限需求

1. 創(chuàng)建群集的執(zhí)行賬戶要求是各節(jié)點本地管理員

2. 創(chuàng)建群集的賬戶需要對目標OU具備創(chuàng)建計算機對象及 讀取所有屬性權(quán)限

3. 創(chuàng)建VCO的CNO對象需要對所在OU具備創(chuàng)建計算機對象及 讀取所有屬性權(quán)限

4. 創(chuàng)建VCO的CNO對象需要對DNS區(qū)域具備創(chuàng)建修改權(quán)限

5. 確認CNO對象對VCO對象具備重設(shè)密碼權(quán)限默認情況下通過CNO創(chuàng)建的VCO具備

只要滿足這五個條件，我們就可以創(chuàng)建一個正常的AD依賴群集及上層應用。

如果采用預置對象的方案，我們可以不用授予創(chuàng)建群集執(zhí)行賬戶權(quán)限與CNO對于OU的權(quán)限，直接賦予創(chuàng)建群集執(zhí)行賬戶具備CNO完全控制權(quán)限，授予CNO對于VCO具備完全控制權(quán)限即可，DNS區(qū)域權(quán)限仍需賦予但使用預置對象方案讓WSFC AD權(quán)限對象更加合規(guī)化

以上為老王實際驗證而得對于傳統(tǒng)WSFC群集AD權(quán)限的需求處理，以及如何使用最小化權(quán)限實現(xiàn)WSFC權(quán)限需求，希望能夠為感興趣的朋友帶來收獲

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

標題名稱：WSFCAD權(quán)限規(guī)劃-創(chuàng)新互聯(lián)
文章出自：http://www.rwnh.cn/article6/csosig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、營銷型網(wǎng)站建設(shè)、網(wǎng)站排名、網(wǎng)站導航、域名注冊、響應式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)