V tomto článku sa budeme zaoberať funkciami delegovania administratívneho oprávnenia v doméne Active Directory. Delegovanie umožňuje udeliť právo vykonávať určité úlohy správy v službe AD bežným používateľom domény, nezahrnúť ich do skupín privilegovaných domén, ako sú správcovia domén, správcovia účtov atď. ... Napríklad pomocou delegovania môžete poskytnúť konkrétnu skupinu používateľov (napríklad helpdesk ) právo pridať používateľov do skupín, založiť nových používateľov v službe AD a resetovať heslo.
obsah:
- Funkcie delegovania práv v AD
- Delegovanie oprávnenia na resetovanie hesiel a odomykanie účtov
- Delegovanie oprávnenia na pripojenie k počítačom v doméne AD
- Zakázať delegovanie práv v doméne AD
Funkcie delegovania práv v AD
Sprievodca sa používa na delegovanie oprávnenia na AD Sprievodca delegovaním kontroly v grafickom modulu snap-in Používatelia a počítače služby Active Directory (DSA.msc).
Administratívne práva v AD možno delegovať na pomerne podrobnú úroveň. Jedna skupina môže mať právo na obnovenie hesla v OU, druhá - na vytvorenie a vymazanie účtov, tretia - na resetovanie hesla. Môžete nakonfigurovať dedičnosť povolení pre vnorené organizačné jednotky. Oprávnenie môžete delegovať na úrovni:
- Miesto AD
- Celková doména
- Konkrétny OU v službe Active Directory.
Spravidla sa neodporúča delegovať povolenia priamo na používateľa. Namiesto toho vytvorte novú skupinu bezpečnosti v službe AD, pridajte do nej používateľa a delegujte na ňu oprávnenie OU. Ak potrebujete prideliť rovnaké práva v doméne inému používateľovi, musíte ho iba pridať do bezpečnostnej skupiny.
Upozorňujeme, že by ste nikomu nemali udeľovať právo spravovať organizačné jednotky s administratívnymi účtami. Inak by sa mohla ľahko vyskytnúť situácia, keď ktorýkoľvek zamestnanec technickej podpory môže resetovať heslo správcu domény. Všetci citliví používatelia a privilegované skupiny sa musia umiestniť do samostatného organizačného úradu, ktorý nepodlieha pravidlám delegovania..Delegovanie oprávnenia na resetovanie hesiel a odomykanie účtov
Predstavte si, že našou úlohou je poskytnúť skupine HelpDesk právo obnoviť heslo a odomknúť používateľské účty v doméne. Vytvorte novú skupinu v službe AD pomocou PowerShell:
New-ADGroup "HelpDesk" - cesta 'OU = Skupiny, OU = Moskva, DC = corp, dc = winitpro, DC = ru' -GroupScope Global
Pridajte do skupiny potrebných používateľov:
Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb
Spustite konzolu Active Directory Users and Computers (ADUC), kliknite na RMB na OU s používateľmi (v našom príklade je to „OU = Users, OU = Moscow, DC = corp, dc = winitpro, DC = ru“) a vyberte položku ponuky Delegovaná kontrola.
Vyberte skupinu, ktorej chcete udeliť administratívne oprávnenia..
Vyberte jednu z preddefinovaných množín privilégií (Delegujte nasledujúce bežné úlohy) zo zoznamu:
- Vytvárať, odstraňovať a spravovať používateľské účty;
- Obnovte používateľské heslá a vynútite zmenu hesla pri najbližšom prihlásení;
- Prečítajte si všetky informácie o používateľovi;
- Vytvárať, odstraňovať a spravovať skupiny;
- Upraviť členstvo v skupine;
- Spravovať prepojenia politiky skupiny;
- Generovanie výslednej sady politík (plánovanie);
- Generovanie výslednej sady politík (protokolovanie);
- Vytvárajte, odstraňujte a spravujte účty inetOrgPerson;
- Obnovte heslá inetOrgPerson a vynútite zmenu hesla pri najbližšom prihlásení;
- Prečítajte si všetky inetOrgPerson informácie.
Alebo si vytvorte vlastnú úlohu delegovania (vytvorte vlastnú úlohu, ktorú chcete delegovať). Vyberiem druhú možnosť.
Vyberte typ objektov AD, na ktoré chcete udeliť práva. pretože potrebujeme udeliť práva na používateľské účty, vyberte Objekt používateľa. Ak chcete udeliť právo vytvárať a mazať používateľov v tomto OU, vyberte možnosti Vytvorenie / odstránenie vybratých objektov v tomto priečinku. V našom príklade takéto oprávnenie neudelujeme.
V zozname povolení musíte vybrať tie privilégiá, ktoré chcete delegovať. V našom príklade vyberieme právo na odomknutie (Prečítajte si lockoutTime a Napíšte lockoutTime) a obnovenie hesla (Obnoviť heslo).
Ak chcete nájsť zdroj blokujúcich účtov v doméne, podpora používateľov by mala poskytovať právo prehľadávať protokoly v radičoch domény.Kliknite na Ďalej a na poslednej obrazovke potvrďte priradenie vybratých povolení.
Teraz pod užívateľským kontom skupiny HelpDesk skúste použiť PowerShell na obnovenie hesla používateľa od používateľov OU, napríklad z PowerShell:
Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa $$ w0rd1” -Force -Verbose) -PassThru
Heslo sa musí úspešne resetovať (ak sa zhoduje s politikou hesla domény).
Teraz sa pokúste vytvoriť používateľa v tomto OU pomocou rutiny New-ADUser:
New-ADUser - meno kalininda -Path 'OU = Users, OU = Moscow, OU = winitpro, OU = DC = ru' - Enabled $ true
Chyba prístupu by sa mala objaviť ako autorizáciu účtu, ktorú ste delegovali.
Protokoly radiča domény môžete použiť na riadenie používateľov, na ktorých ste delegovali oprávnenia. Môžete napríklad sledovať, kto resetuje používateľské heslo v doméne, zistiť, kto si vytvoril užívateľský účet v službe AD, alebo sledovať zmeny v určitých skupinách AD.
Delegovanie oprávnenia na pripojenie k počítačom v doméne AD
V predvolenom nastavení sa k doméne môže pripojiť 10 používateľov. Pri pridávaní 11. počítača do domény sa zobrazí chybová správa.
Váš počítač sa nepodarilo pripojiť k doméne. Prekročili ste maximálny počet počítačových účtov, ktoré môžete vytvoriť v tejto doméne. Obráťte sa na správcu systému a požiadajte ho o obnovenie alebo zvýšenie tohto limitu.Toto obmedzenie môžete zmeniť na úrovni celej domény zvýšením hodnoty v atribúte ms-DS-MachineAccountQuota (Link). Alebo (oveľa správnejšie a bezpečnejšie) delegovanie práva na pripojenie počítačov k doméne v konkrétnom OU na konkrétnu skupinu používateľov (helpdesk). Za týmto účelom udeľujte právo vytvárať objekty typu (Počítačové objekty). V sprievodcovi delegáciou vyberte V tomto priečinku vytvorte vybrané objekty.
V časti Povolenia vyberte položku Vytvorenie všetkých podradených objektov.
Zakázať delegovanie práv v doméne AD
Ak chcete odstrániť skupinu predtým delegovaných práv OU, otvorte vlastnosti OU v konzole ADUC a prejdite na kartu zabezpečenia.
V zozname povolení vyhľadajte skupinu, na ktorú ste delegovali práva, a kliknite na ňu Remove. Zoznam udelených povolení nájdete na karte pokročilý. Ako vidíte, HelpDesk má povolené obnovovať heslá.
Tiež z karty Zabezpečenie -> Rozšírené môžete nakonfigurovať delegovanie oprávnení priradením neštandardných povolení rôznym skupinám zabezpečenia.