Blog

Konec "Bohů" v cloudu: Proč je Global Admin časovaná bomba

10. září 2025

Konec "Bohů" v cloudu: Proč je Global Admin časovaná bomba
Zpět na blog

V cloudovém světě Microsoft 365 a Google Workspace existuje jedna role, která vládne všem. Říká se jí Global Admin (nebo Super Admin). Kdo má tento účet, je digitálním bohem. Může číst e-maily ředitele, smazat všechny zálohy, změnit bankovní čísla na fakturách.

Problém je, že v mnoha firmách má tuto roli polovina IT oddělení a někdy i šéf marketingu, "aby ho nic nebrzdilo". Je to nejrychlejší cesta k likvidaci firmy.

Jak nastavit Princip nejnižších nutných práv (Least Privilege) v cloudu a nezbláznit se z toho?

Proč "jeden admin vládne všem" nefunguje

Pokud má útočník heslo běžného uživatele (Franta z obchodu), může napáchat škodu v rámci Frantových e-mailů. Pokud má heslo Global Admina, hra skončila. Útočník má plnou kontrolu nad celou firmou (tzv. Kingdom Keys). Nemusí nic hackovat, prostě se přihlásí a vypne vám firmu.

Zlaté pravidlo: Váš běžný účet (ten, na kterém čtete e-maily a píšete ve Wordu) by NIKDY neměl být Global Admin.

Role-Based Access Control (RBAC): Klíče jen od jedné místnosti

Cloudové služby umožňují přidělovat role jako lego kostičky. Dáváte lidem jen to, co potřebují.

Jak to nastavit v Microsoft 365?

Místo Global Admina použijte tyto role:

  • User Administrator: Pro kolegy, kteří resetují hesla a zakládají nové lidi. Nemohou ale sahat na nastavení serverů.

  • Exchange Administrator: Pro ty, co řeší e-maily, antispam a distribuční skupiny.

  • SharePoint Administrator: Pro správce souborů a intranetu.

  • Billing Administrator: Pro účetní, aby mohli stáhnout faktury za licence, ale neviděli do e-mailů.

  • Global Reader: Skvělá role pro auditory nebo junior IT – mohou se podívat na nastavení ("read-only"), ale nemohou nic změnit (rozbít).

Jak to nastavit v Google Workspace?

Google to má podobně. Místo Super Admina vytvořte Vlastní role (Custom Roles):

  • Help Desk Admin: Reset hesel a správa zařízení.

  • Services Admin: Může zapínat/vypínat aplikace (Meet, Calendar), ale nedostane se k datům.

  • Groups Admin: Správa e-mailových skupin.

Koncept "Break-Glass" účtu (Nouzové kladívko)

Možná si říkáte: "A co když se něco pokazí a my toho Global Admina budeme fakt potřebovat?" Ano, potřebujete ho. Ale ne na denní práci.

Zavedťe tzv. Break-Glass Account (Účet pro případ nouze):

  1. Vytvořte jeden účet (např. admin-emergency@firma.cz), který je Global Admin.

  2. Nastavte mu extrémně složité heslo (30+ znaků).

  3. Nastavte mu MFA, která nezávisí na vašem mobilu (fyzický klíč v trezoru).

  4. Přihlašovací údaje dejte do fyzické obálky do sejfu ředitele.

  5. Použijte ho jen tehdy, když hoří (např. když selže přihlašování pro všechny ostatní).

  6. Nastavte alarm: Jakmile se tento účet přihlásí, celé IT vedení musí dostat SMS/e-mail, že se něco děje.

Závěr

Mít 5 Global Adminů je pohodlné, ale nezodpovědné. Udělejte si inventuru.

  • Běžní IT správci by měli mít jen specifické role (Exchange/User/SharePoint).

  • Počet Global Adminů by měl být maximálně 2 až 4 (a neměli by se používat pro čtení pošty).

Bezpečnost není o tom, že nikomu nevěříte. Je o tom, že až někdo z kolegů klikne na špatný odkaz (a to se stane), hacker získá jen klíče od úklidové komory, ne od trezoru.

Další články

Top 5 uživatelských chyb, které zbytečně zahlcují IT helpdesk (a jak se jim vyhnout)

18. února 2026

Top 5 uživatelských chyb, které zbytečně zahlcují IT helpdesk (a jak se jim vyhnout)

Každé IT oddělení má stejný cíl: zajistit, aby firma fungovala hladce a data byla v bezpečí. Realita všedního dne je ale často jiná. Místo řešení kybernetické bezpečnosti nebo rozvoje infrastruktury tráví technici hodiny řešením problémů, které by uživatelé zvládli odstranit sami.

Sdílené disky vs. Chaos v právech: Kam mizí data, když kolega odejde?

3. února 2026

Sdílené disky vs. Chaos v právech: Kam mizí data, když kolega odejde?

Znáte ten scénář? Kolega odejde z firmy, IT mu zruší účet a najednou celému týmu zmizí důležitá složka s projekty. Nebo kliknete na odkaz a vyskočí na vás „Přístup odepřen“. Proč se to děje? Protože většina firem si plete osobní prostor s tím firemním.

Pravidlo 3-2-1: Zlatý standard zálohování (a proč je záloha bez testu k ničemu)

26. ledna 2026

Pravidlo 3-2-1: Zlatý standard zálohování (a proč je záloha bez testu k ničemu)

V IT existuje staré pořekadlo: „Lidé se dělí na dva typy: na ty, kteří o data přišli, a na ty, které to teprve čeká.“ Pevný disk se může rozbít, notebook vám ukradnou, nebo (což je dnes nejčastější) vám data zašifruje ransomware. Pokud máte všechna data jen na jednom místě, hrajete ruskou ruletu.

Máte zájem o naše služby? Kontaktujte nás ještě dnes.

Logo

E-MAIL:

servis@revoit.cz

TELEFON:

+420 774 481 048

LinkedIn:

Revolution network, s.r.o.

LinkedIn

2025 Revolution network, s.r.o. Všechna práva vyhrazena.

|

Společnost zapsaná v obchodním rejstříku: C 289206/MSPH Městský soud v Praze

|

Zásady zpracování osobních údajů

|

Používání cookies

|

web by revoit

Ikona podpory

SUPPORT

Call

774 481 048

Ikona asistence

HELPDESK

Chat

Chat