V tomto článku se budeme zabývat funkcemi delegování administrativního oprávnění v doméně služby Active Directory. Delegování umožňuje udělit právo provádět určité úkoly správy v AD běžným uživatelům domény, nezařazovat je do skupin privilegovaných domén, jako jsou Domain Admins, Account Operators atd. ... Například pomocí delegace můžete poskytnout konkrétní skupinu uživatelů (například Helpdesk ) právo přidávat uživatele do skupin, vytvářet nové uživatele v AD a resetovat heslo.
Obsah:
- Funkce delegování práv v AD
- Delegování oprávnění resetovat hesla a odemknout účty
- Delegování oprávnění připojit se k počítačům v doméně AD
- Zakázat delegování práv v doméně AD
Funkce delegování práv v AD
K delegování oprávnění na službu AD se používá průvodce Průvodce přenesením kontroly v grafickém modulu snap-in Uživatelé a počítače služby Active Directory (DSA.msc).
Správní práva v AD lze delegovat na poměrně podrobnou úroveň. Jedna skupina může mít právo na resetování hesla v OU, druhá - pro vytváření a mazání účtů, třetí - pro resetování hesla. Můžete nakonfigurovat dědičnost oprávnění pro vnořené organizační jednotky. Můžete delegovat oprávnění na úrovni:
- AD web
- Celková doména
- Konkrétní OU ve službě Active Directory.
Obecně se nedoporučuje delegovat oprávnění přímo na uživatele. Místo toho vytvořte novou skupinu zabezpečení v AD, přidejte do ní uživatele a delegujte oprávnění OU na skupinu. Pokud potřebujete udělit stejná práva v doméně jinému uživateli, musíte jej přidat pouze do skupiny zabezpečení.
Upozorňujeme, že byste nikomu neměli udělovat právo spravovat OU pomocí administrativních účtů. Jinak by mohla snadno nastat situace, kdy kterýkoli pracovník podpory může resetovat heslo správce domény. Všichni citliví uživatelé a privilegované skupiny musí být umístěny v samostatné organizační jednotce, která nepodléhá pravidlům delegování..Delegování oprávnění resetovat hesla a odemknout účty
Představte si, že naším úkolem je poskytnout skupině HelpDesk právo resetovat heslo a odemknout uživatelské účty v doméně. Takže vytvořte novou skupinu v AD pomocí PowerShell:
New-ADGroup "HelpDesk" - cesta 'OU = Skupiny, OU = Moskva, DC = corp, dc = winitpro, DC = ru' -GroupScope Global
Přidejte do skupiny potřebné uživatele:
Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb
Spusťte konzolu Active Directory Users and Computers (ADUC), klikněte na RMB na OU s uživateli (v našem příkladu je to 'OU = Users, OU = Moscow, DC = corp, dc = winitpro, DC = ru') a vyberte položku nabídky Delegovat kontrolu.
Vyberte skupinu, které chcete udělit oprávnění správce..
V seznamu vyberte jednu z předdefinovaných sad oprávnění (Delegujte následující běžné úkoly):
- Vytvářejte, odstraňujte a spravujte uživatelské účty;
- Obnovte hesla uživatele a vynutte změnu hesla při příštím přihlášení;
- Přečtěte si všechny informace o uživateli;
- Vytvářejte, odstraňujte a spravujte skupiny;
- Upravit členství ve skupině;
- Spravovat odkazy na zásady skupiny;
- Generování výsledné sady politik (plánování);
- Generovat výslednou sadu zásad (protokolování);
- Vytvářejte, odstraňujte a spravujte účty inetOrgPerson;
- Resetujte hesla inetOrgPerson a vynutte si změnu hesla při příštím přihlášení;
- Přečtěte si všechny informace inetOrgPerson.
Nebo vytvořte vlastní úkol delegování (Vytvořte vlastní úkol, který chcete delegovat). Vyberu druhou možnost.
Vyberte typ objektů AD, ke kterým chcete udělit práva. Protože potřebujeme udělit práva uživatelským účtům, vyberte Objekt uživatele. Pokud chcete udělit právo vytvářet a mazat uživatele v tomto OU, vyberte možnosti Vytvořit / smazat vybrané objekty v této složce. V našem příkladu takové oprávnění neudělujeme.
V seznamu oprávnění musíte vybrat ta oprávnění, která chcete delegovat. V našem příkladu vybereme právo na odemknutí (Přečtěte si lockoutTime a Napište lockoutTime) a reset hesla (Reset hesla).
Chcete-li najít zdroj blokujících účtů v doméně, měla by podpora uživatelů poskytovat právo prohledávat protokoly v řadičích domény.
Klikněte na Další a na poslední obrazovce potvrďte přiřazení vybraných oprávnění.
Nyní pod uživatelským účtem ze skupiny HelpDesk zkuste pomocí PowerShell obnovit uživatelské heslo od uživatelů OU, například z PowerShell:
Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa $$ w0rd1” -Force -Verbose) -PassThru
Heslo musí být úspěšně resetováno (pokud odpovídá zásadám hesla domény).
Nyní se pokuste vytvořit uživatele v tomto OU pomocí rutiny New-ADUser:
New-ADUser - Jméno kalininda - Cesta 'OU = Uživatelé, OU = Moskva, OU = winitpro, OU = DC = ru' - Povoleno $ true
Chyba přístupu by se měla objevit jako autorizaci účtu, kterou jste delegovali.
Protokoly řadičů domény můžete použít k řízení uživatelů, kterým jste udělili oprávnění. Můžete například sledovat, kdo resetuje uživatelské heslo v doméně, zjistit, kdo vytvořil uživatelský účet v AD, nebo sledovat změny v určitých AD skupinách.
Delegování oprávnění připojit se k počítačům v doméně AD
Ve výchozím nastavení se k doméně může připojit 10 uživatelů. Při přidávání 11. počítače do domény se zobrazí chybová zpráva.
Váš počítač nelze připojit k doméně. Překročili jste maximální počet počítačových účtů, které můžete v této doméně vytvořit. Obraťte se na správce systému, aby vám tento limit resetoval nebo zvýšil.
Toto omezení můžete změnit na úrovni celé domény zvýšením hodnoty v atributu ms-DS-MachineAccountQuota (link). Nebo (mnohem správnější a bezpečnější) delegování práva na připojení počítačů k doméně v konkrétní OU na konkrétní skupinu uživatelů (helpdesk). Za tímto účelem udělte právo vytvářet objekty typu (Počítačové objekty) V průvodci delegací vyberte V této složce vytvořte vybrané objekty.
A v části Oprávnění vyberte Vytvořit všechny podřízené objekty.
Zakázat delegování práv v doméně AD
Chcete-li odstranit skupinu dříve delegovaných práv OU, otevřete vlastnosti OU v konzole ADUC a přejděte na kartu Zabezpečení.
V seznamu oprávnění vyhledejte skupinu, na kterou jste delegovali práva, a klikněte na Odebrat. Na kartě lze zobrazit seznam udělených oprávnění Pokročilé. Jak vidíte, HelpDesk má povoleno resetovat hesla.
Také z karty Zabezpečení -> Pokročilé můžete nakonfigurovat delegování oprávnění přiřazením nestandardních oprávnění různým skupinám zabezpečení.
