WSFC AD權(quán)限規(guī)劃

    長久以來老王一直發(fā)現(xiàn)一個問題，似乎有很多人對于WSFC群集的權(quán)限存在一些誤解，以為只有域administrator才可以裝，或者要Domain admins才可以裝

    其實(shí)WSFC的安裝并不需要那么大的權(quán)限，在本文中老王將為大家分享WSFC AD權(quán)限規(guī)劃，我們將盡可能采用最小化權(quán)限的原則來進(jìn)行設(shè)計。

    主要圍繞兩種場景

     1.最小化權(quán)限

     2.預(yù)先置備CNO

   之前博客中也曾經(jīng)和大家提到過群集的創(chuàng)建過程，以WSFC 2012時代之后為例，當(dāng)我們輸入群集名稱后，群集會使用我們當(dāng)前的執(zhí)行賬號去AD里面創(chuàng)建CNO對象，去DNS中創(chuàng)建CNO DNS記錄，默認(rèn)情況下AD里面的普通用戶也可以去DNS中注冊記錄，所以對于CNO的DNS記錄我們不用Care，我們需要關(guān)心的就是CNO的權(quán)限與VCO的權(quán)限。

    首先創(chuàng)建一個群集用戶cluadmin 權(quán)限默認(rèn)

將該賬戶通過組策略下發(fā)也好或手動添加也好加入到群集各節(jié)點(diǎn)本地管理員組

這是第一個要添加的權(quán)限因為執(zhí)行創(chuàng)建群集向?qū)П仨氁?strong>本地管理員權(quán)限才可以

第一步做完之后我們接著來思考，既然你創(chuàng)建群集向?qū)бB到AD創(chuàng)建CNO，那么肯定是需要對AD有寫入權(quán)限吧，這個寫入的權(quán)限其實(shí)并不需要直接給賦予domain admins 或enterprise admins那么大的權(quán)限，群集管理賬戶或群集管理賬戶組只需要對于OU具備 創(chuàng)建計算機(jī)對象 及 讀取所有屬性 權(quán)限即可創(chuàng)建CNO對象完成需要的工作。

在2008時代創(chuàng)建CNO默認(rèn)只會在默認(rèn)計算機(jī)OU生成，WSFC 2012時×××始默認(rèn)情況下將跟隨節(jié)點(diǎn)，在群集節(jié)點(diǎn)計算機(jī)對象所在OU創(chuàng)建CNO，我們也可以在創(chuàng)建群集過程中指定要把CNO創(chuàng)建到具體哪個OU下面，后面老王會為大家演示。

打開ADUC -> 選定CNO要被生成在的OU -> 屬性 -> 安全

添加cluadmin 賦予 創(chuàng)建計算機(jī)對象 及 讀取所有屬性權(quán)限

到這里對于我們創(chuàng)建CNO對象的最小權(quán)限設(shè)計就已經(jīng)完成了，這就是創(chuàng)建群集這一步所需要的權(quán)限，現(xiàn)在我們在群集節(jié)點(diǎn)上使用cluadmin用戶登錄就可以在指定的OU下面創(chuàng)建CNO

可以看到在WSFC 2012之后支持創(chuàng)建群集CNO在指定OU下

創(chuàng)建完成后可以正?？吹紺NO及DNS記錄

事件管理器中可以看到并無報錯，群集得到了正常的生成

到這里我們使用最小化權(quán)限完成了WSFC群集的搭建

那么下一步我們需要在WSFC上面跑應(yīng)用創(chuàng)建VCO，之前我們說過VCO的創(chuàng)建管理是由CNO來負(fù)責(zé)，那么我們還需要在OU上面賦予CNO計算機(jī)賬戶創(chuàng)建VCO的權(quán)限。

同樣CNO只需要對于OU的 創(chuàng)建計算機(jī)對象 及 讀取所有屬性權(quán)限，因為從2012開始VCO默認(rèn)和CNO創(chuàng)建在相同OU下，所以我們只要對CNO所在OU賦予CNO的權(quán)限即可。

除了AD外VCO還需要DNS記錄，VCO的DNS記錄也是由CNO負(fù)責(zé)創(chuàng)建維護(hù)，因此需要確保CNO計算機(jī)賬戶對于DNS區(qū)域有 修改權(quán)限 創(chuàng)建權(quán)限，刪除權(quán)限可選，如不選擇到時可能需手動清理CNO DNS記錄。

賦予完成CNO的OU權(quán)限和DNS權(quán)限后，下面創(chuàng)建VCO發(fā)現(xiàn)已經(jīng)可以正常寫入AD和DNS

到這里我們就通過了最小化的權(quán)限來成功的創(chuàng)建了群集并且完成了群集上層的應(yīng)用搭建，這就是群集創(chuàng)建起來所需要的所有權(quán)限   That's it That's all 

讓我們來總結(jié)下

• 對于群集創(chuàng)建賬戶要求是各節(jié)點(diǎn)本地管理組成員

• 創(chuàng)建計算機(jī)對象 及 讀取所有屬性權(quán)限

• 群集CNO對于所在OU具備創(chuàng)建計算機(jī)對象 及 讀取所有屬性權(quán)限

• 群集CNO對于DNS區(qū)域具備創(chuàng)建記錄修改記錄權(quán)限

• CNO對象對VCO對象需具備重設(shè)密碼權(quán)限默認(rèn)情況下通過CNO創(chuàng)建的VCO具備該權(quán)限

今后您再創(chuàng)建群集不再需要每次都使用administrator或domain admins，您可以通過這樣權(quán)限更小的賬號來完成創(chuàng)建群集的工作。

不過這種模式雖然安全了一點(diǎn) 但也有它隨之帶來的麻煩即AD管理員需要為群集賦予權(quán)限兩次

1. 賦予創(chuàng)建群集的用戶權(quán)限

2. 群集創(chuàng)建完成后賦予CNO權(quán)限

這里的關(guān)鍵在于，一旦我們選擇了這種模型就代表了AD管理員信賴群集管理員把群集創(chuàng)建的工作交給了群集管理員完成，我可以給它這樣低的權(quán)限，它也可以完成工作，這很好，對于AD管理員來說這比以前讓他們使用administrator好多了，但是每次需要賦予兩次權(quán)限這個或多或少都有一點(diǎn)麻煩，因為第二步CNO對象的權(quán)限賦予 只有在創(chuàng)建完成群集后才能產(chǎn)生CNO

所以~ 除了這種傳統(tǒng)方式外我們還有預(yù)置群集計算機(jī)賬號的方式

傳統(tǒng)方式下是由AD管理員賦予個權(quán)限然后讓群集管理員連到AD創(chuàng)建

通過預(yù)置我們可以事先就在AD里面創(chuàng)建好CNO對象

例如，群集管理員把要建立的群集名稱告訴AD管理員，AD管理員事先在某個規(guī)劃好的OU下面創(chuàng)建CNO計算機(jī)對象 并禁用。

之后群集管理員創(chuàng)建群集時，直接連接到AD，自動激活啟用事先創(chuàng)建好的CNO對象。

AD管理員也可以事先就把CNO創(chuàng)建VCO的OU權(quán)限賦予好，因為CNO已經(jīng)預(yù)置好了，這樣只需要賦予一次權(quán)限就可以了，也更加省事。

這種預(yù)置方案特別適合那些對于創(chuàng)建變更要求嚴(yán)格的地方，要求一切都按照事先規(guī)劃好的完成，那么預(yù)置是最好的選擇了。

通過預(yù)置也減少了群集管理員誤操作的風(fēng)險，一切都使用事先規(guī)劃好的對象

如果我們通過預(yù)置方案甚至可以不必為cluadmin授予創(chuàng)建計算機(jī)的權(quán)限，因為創(chuàng)建計算機(jī)的操作會事先由AD管理員進(jìn)行。

預(yù)置CNO對象操作步驟

AD管理員按照 群集管理員 告知的名稱 創(chuàng)建計算機(jī)對象 并禁用

點(diǎn)擊計算機(jī)對象->屬性->安全賦予cluadmin賬戶對于CNO對象具備完全控制權(quán)限

如果接下來群集還需要創(chuàng)建VCO對象，那么您有兩種方案可以選擇

1. 手動賦予CNO對象對于所在OU具備 創(chuàng)建計算機(jī)對象 及 讀取所有屬性權(quán)限，應(yīng)用于范圍此對象”和“所有后代”

2. 預(yù)置VCO對象

由于手動賦予權(quán)限的辦法我們上面已經(jīng)做過，所以這里不再演示，唯一區(qū)別在于如果不預(yù)置，我們需要等待創(chuàng)建完成群集后，再次賦予CNO創(chuàng)建VCO的權(quán)限，使用預(yù)置我們可以直接一次做掉交付給群集管理員。

預(yù)置VCO對象操作步驟

創(chuàng)建VCO計算機(jī)對象并禁用

賦予CNO計算機(jī)對象對于VCO計算機(jī)對象具備完全控制權(quán)限

賦予CNO對象對于DNS區(qū)域具備修改及創(chuàng)建權(quán)限

按照規(guī)劃好的名稱創(chuàng)建群集

檢測到使用的cluadmin賬戶已經(jīng)賦予對目標(biāo)CNO對象具備完全控制權(quán)限，自動聯(lián)機(jī)激活之前已被創(chuàng)建好的禁用CNO計算機(jī)賬戶

DNS記錄也已經(jīng)得到正確注冊

按照事先規(guī)劃好的名稱創(chuàng)建DTC VCO對象

群集檢測到當(dāng)前VCO對象存在 且CNO對象對于VCO對象具備權(quán)限 將自動聯(lián)機(jī)啟動預(yù)置VCO對象

VCO DNS記錄也得到正確創(chuàng)建

回顧一下WSFC傳統(tǒng)AD模型的權(quán)限需求

1. 創(chuàng)建群集的執(zhí)行賬戶要求是各節(jié)點(diǎn)本地管理員

2. 創(chuàng)建群集的賬戶需要對目標(biāo)OU具備創(chuàng)建計算機(jī)對象 及 讀取所有屬性權(quán)限 

3. 創(chuàng)建VCO的CNO對象需要對所在OU具備創(chuàng)建計算機(jī)對象 及 讀取所有屬性權(quán)限

4. 創(chuàng)建VCO的CNO對象需要對DNS區(qū)域具備創(chuàng)建修改權(quán)限

5. 確認(rèn)CNO對象對VCO對象具備重設(shè)密碼權(quán)限默認(rèn)情況下通過CNO創(chuàng)建的VCO具備

只要滿足這五個條件，我們就可以創(chuàng)建一個正常的AD依賴群集及上層應(yīng)用。

如果采用預(yù)置對象的方案，我們可以不用授予創(chuàng)建群集執(zhí)行賬戶權(quán)限與CNO對于OU的權(quán)限，直接賦予創(chuàng)建群集執(zhí)行賬戶具備CNO完全控制權(quán)限，授予CNO對于VCO具備完全控制權(quán)限即可，DNS區(qū)域權(quán)限仍需賦予但使用預(yù)置對象方案讓W(xué)SFC AD權(quán)限對象更加合規(guī)化

以上為老王實(shí)際驗證而得對于傳統(tǒng)WSFC群集AD權(quán)限的需求處理，以及如何使用最小化權(quán)限實(shí)現(xiàn)WSFC權(quán)限需求，希望能夠為感興趣的朋友帶來收獲