Delegowanie uprawnień administracyjnych w usłudze Active Directory

W tym artykule rozważymy funkcje delegowania uprawnień administracyjnych w domenie Active Directory. Delegowanie umożliwia przyznanie prawa do wykonywania określonych zadań zarządzania w AD zwykłym użytkownikom domeny, nie wliczając ich do uprzywilejowanych grup domen, takich jak administratorzy domeny, operatorzy kont itp. ... Na przykład, korzystając z delegowania, możesz zapewnić określoną grupę użytkowników (na przykład Helpdesk ) prawo do dodawania użytkowników do grup, ustanawiania nowych użytkowników w AD i resetowania hasła.

Treść

  • Funkcje przekazywania uprawnień w AD
  • Przekazanie uprawnień do resetowania haseł i odblokowywania kont
  • Przekazanie uprawnień do dołączania do komputerów w domenie AD
  • Wyłącz delegowanie uprawnień w domenie AD

Funkcje przekazywania uprawnień w AD

Kreator służy do delegowania uprawnień do AD Kreator delegowania kontroli w graficznej przystawce Użytkownicy i komputery usługi Active Directory (DSA.msc).

Prawa administracyjne w AD można przekazać na dość szczegółowym poziomie. Jednej grupie można przyznać prawo do resetowania hasła w jednostce organizacyjnej, drugiej - do tworzenia i usuwania kont, trzeciej - do resetowania hasła. Możesz skonfigurować dziedziczenie uprawnień dla zagnieżdżonych jednostek organizacyjnych. Możesz przekazać uprawnienia na poziomie:

  1. Witryna AD
  2. Całkowita domena
  3. Określona jednostka organizacyjna w usłudze Active Directory.

Zasadniczo nie jest zalecane przekazywanie uprawnień bezpośrednio użytkownikowi. Zamiast tego utwórz nową grupę zabezpieczeń w AD, dodaj do niej użytkownika i przekaż uprawnienia grupy OU grupie. Jeśli musisz przyznać te same uprawnienia w domenie innemu użytkownikowi, wystarczy dodać go do grupy zabezpieczeń.

Należy pamiętać, że nie należy udzielać nikomu prawa do zarządzania jednostką organizacyjną za pomocą kont administracyjnych. W przeciwnym razie sytuacja może się łatwo zdarzyć, gdy dowolny członek personelu pomocy technicznej może zresetować hasło administratora domeny. Wszyscy wrażliwi użytkownicy i uprzywilejowane grupy muszą być umieszczone w oddzielnej jednostce organizacyjnej, która nie podlega regułom delegowania..

Przekazanie uprawnień do resetowania haseł i odblokowywania kont

Wyobraź sobie, że naszym zadaniem jest zapewnienie grupie HelpDesk prawa do resetowania hasła i odblokowywania kont użytkowników w domenie. Utwórz nową grupę w AD przy użyciu programu PowerShell:

New-ADGroup „HelpDesk” - ścieżka „OU = Grupy, OU = Moskwa, DC = corp, dc = winitpro, DC = ru” -GroupScope Global

Dodaj niezbędnych użytkowników do grupy:

Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb

Uruchom konsolę Użytkownicy i komputery usługi Active Directory (ADUC), kliknij RMB na jednostce organizacyjnej z użytkownikami (w naszym przykładzie jest to „OU = Users, OU = Moscow, DC = corp, dc = winitpro, DC = ru”) i wybierz pozycję menu Delegowanie kontroli.

Wybierz grupę, której chcesz przyznać uprawnienia administracyjne..

Wybierz jeden z predefiniowanych zestawów uprawnień (Deleguj następujące typowe zadania) z listy:

  • Twórz, usuwaj i zarządzaj kontami użytkowników;
  • Zresetuj hasła użytkownika i wymuś zmianę hasła przy następnym logowaniu;
  • Przeczytaj wszystkie informacje o użytkowniku;
  • Twórz, usuwaj i zarządzaj grupami;
  • Zmodyfikuj członkostwo w grupie;
  • Zarządzaj linkami do zasad grupy;
  • Wygeneruj wynikowy zestaw zasad (planowanie);
  • Wygeneruj wynikowy zestaw zasad (rejestrowanie);
  • Twórz, usuwaj i zarządzaj kontami inetOrgPerson;
  • Zresetuj hasła inetOrgPerson i wymuś zmianę hasła przy następnym logowaniu;
  • Przeczytaj wszystkie informacje inetOrgPerson.

Lub utwórz własne zadanie delegowania (Utwórz niestandardowe zadanie do delegowania). Wybiorę drugą opcję.

Wybierz typ obiektów AD, którym chcesz nadać uprawnienia. Ponieważ musimy przyznać prawa do kont użytkowników, wybierz Obiekt użytkownika. Jeśli chcesz udzielić prawa do tworzenia i usuwania użytkowników w tej jednostce organizacyjnej, wybierz opcje Utwórz / Usuń wybrane obiekty w tym folderze. W naszym przykładzie nie udzielamy takiego upoważnienia.

Na liście uprawnień musisz wybrać uprawnienia, które chcesz przekazać. W naszym przykładzie wybieramy prawo do odblokowania (Czytaj czas blokady i Napisz czas blokady) i reset hasła (Zresetuj hasło).

Aby znaleźć źródło blokowania kont w domenie, obsługa użytkowników powinna zapewnić prawo do przeszukiwania dzienników na kontrolerach domeny.

Kliknij przycisk Dalej, a na ostatnim ekranie potwierdź przypisanie wybranych uprawnień.

Teraz, w ramach konta użytkownika z grupy HelpDesk, spróbuj użyć PowerShell, aby zresetować hasło użytkownika od użytkowników OU, na przykład z PowerShell:

Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText „PPPPa $$ w0rd1” -Force -Verbose) -PassThru

Hasło musi zostać zresetowane pomyślnie (jeśli jest zgodne z polityką haseł domeny).

Teraz spróbuj utworzyć użytkownika w tej jednostce organizacyjnej za pomocą polecenia cmdlet New-ADUser:

New-ADUser -Name kalininda -Path 'OU = Users, OU = Moscow, OU = winitpro, OU = DC = ru' -Enabled $ true

Powinien pojawić się błąd dostępu, as autoryzacja konta, której nie delegowałeś.

Za pomocą dzienników kontrolera domeny można kontrolować użytkowników, którym przekazano uprawnienia. Na przykład możesz śledzić, kto zresetował hasło użytkownika w domenie, dowiedzieć się, kto utworzył konto użytkownika w AD, lub śledzić zmiany w określonych grupach AD.

Przekazanie uprawnień do dołączania do komputerów w domenie AD

Domyślnie każdy użytkownik domeny może dołączyć do 10 komputerów do domeny. Podczas dodawania 11. komputera do domeny pojawia się komunikat o błędzie.

Nie można dołączyć komputera do domeny. Przekroczono maksymalną liczbę kont komputerów, które możesz utworzyć w tej domenie. Skontaktuj się z administratorem systemu, aby zresetować lub zwiększyć ten limit.

Możesz zmienić to ograniczenie na poziomie całej domeny, zwiększając wartość atrybutu ms-DS-MachineAccountQuota (link). Lub (znacznie bardziej poprawne i bezpieczniejsze), delegowanie prawa dołączania do komputerów w domenie w określonej jednostce organizacyjnej do określonej grupy użytkowników (helpdesk). W tym celu należy udzielić prawa do tworzenia obiektów typu (Przedmioty komputerowe) W kreatorze delegacji wybierz Utwórz wybrane obiekty w tym folderze.

I w sekcji Uprawnienia wybierz Utwórz wszystkie obiekty podrzędne.

Wyłącz delegowanie uprawnień w domenie AD

Aby usunąć grupę wcześniej delegowanych uprawnień jednostki organizacyjnej, otwórz właściwości jednostki organizacyjnej w konsoli ADUC i przejdź do karty Bezpieczeństwo.

Na liście uprawnień znajdź grupę, do której przekazałeś uprawnienia, i kliknij Usuń. Lista przyznanych uprawnień można wyświetlić na karcie Zaawansowane. Jak widać, HelpDesk może resetować hasła.

Również z zakładki Bezpieczeństwo -> Zaawansowane można skonfigurować delegowanie uprawnień, przypisując niestandardowe uprawnienia do różnych grup zabezpieczeń.