U ovom ćemo članku razmotriti značajke delegiranja administrativnih ovlasti u domeni Active Directory. Delegiranje dopušta davanje prava za obavljanje određenih zadataka upravljanja AD-om običnim korisnicima domene, ne uključujujući ih u povlaštene grupe domena, poput administratora domena, operatora računa itd. ... Na primjer, korištenjem delegiranja možete pružiti određenu grupu korisnika (na primjer, Helpdesk ) pravo dodavanja korisnika u grupe, uspostavljanje novih korisnika u AD-u i resetiranje lozinke.
sadržaj:
- Značajke prenosa prava na AD
- Prenos ovlaštenja za resetiranje lozinki i otključavanje računa
- Prenos ovlaštenja za pridruživanje računalima u AD domeni
- Onemogući prijenos prava u domeni AD
Značajke prenosa prava na AD
Čarobnjak se koristi za delegiranje ovlasti na AD Delegacija čarobnjaka za kontrolu na grafičkom priključku u aktivnom direktoriju korisnika i računala (DSA.msc).
Administrativna prava u AD-u mogu se delegirati na prilično detaljnoj razini. Jednoj grupi se može dati pravo na resetiranje lozinke u OU, drugoj - za stvaranje i brisanje računa, trećoj - za resetiranje lozinke. Možete konfigurirati nasljeđivanje dozvola za ugniježđene OU. Ovlaštenje možete delegirati na razini:
- AD stranica
- Ukupna domena
- Specifični OU u Active Directoryu.
Obično se ne preporučuje delegiranje dozvola izravno korisniku. Umjesto toga, stvorite novu sigurnosnu grupu u AD-u, dodajte joj korisnika i delegirajte OU ovlaštenja grupi. Ako morate ista prava u domeni dodijeliti drugom korisniku, samo ga morate dodati u sigurnosnu skupinu.
Imajte na umu da nikome ne smijete dati pravo upravljanja OU-om s administrativnim računima. U protivnom se lako može dogoditi situacija kada bilo koji član osoblja za pomoć može resetirati lozinku administratora domene. Svi osjetljivi korisnici i povlaštene skupine moraju biti smješteni u poseban OU, što nije podložno pravilima delegiranja..Prenos ovlaštenja za resetiranje lozinki i otključavanje računa
Zamislite da je naš zadatak pružiti HelpDesk grupi pravo na resetiranje lozinke i otključavanje korisničkih računa u domeni. Dakle, stvorite novu grupu u AD-u pomoću PowerShell-a:
Nova-ADGroup "HelpDesk" -path "OU = Grupe, OU = Moskva, DC = corp, dc = winitpro, DC = ru" -GroupScope Global
U grupu dodajte potrebne korisnike:
Add-AdGroupMember -Identity HelpDesk -Članovi ivanovaa, semenovvb
Pokrenite konzolu Active Directory Users and Computers (ADUC), kliknite RMB na OU s korisnicima (u našem primjeru to je 'OU = Korisnici, OU = Moskva, DC = corp, dc = winitpro, DC = ru') i odaberite stavku izbornika Delegatna kontrola.
Odaberite grupu kojoj želite dati administrativne povlastice..
Odaberite jedan od unaprijed definiranih skupova privilegija (delegirajte sljedeće uobičajene zadatke) s popisa:
- Stvaranje, brisanje i upravljanje korisničkim računima;
- Poništite korisničke lozinke i prisilite promjenu lozinke pri sljedećoj prijavi;
- Pročitajte sve podatke o korisnicima;
- Stvaranje, brisanje i upravljanje grupama;
- Izmijeniti članstvo u grupi;
- Upravljanje vezama s politikama grupe;
- Stvorite rezultirajući skup politika (planiranje);
- Stvorite rezultirajući skup pravila (bilježenje);
- Stvaranje, brisanje i upravljanje računima inetOrgPerson;
- Poništite lozinke inetOrgPerson i prisilite promjenu lozinke pri sljedećoj prijavi;
- Pročitajte sve informacije inetOrgPerson.
Ili izradite vlastiti zadatak delegiranja (Kreirajte prilagođeni zadatak za delegiranje). Izabrat ću drugu opciju.
Odaberite vrstu AD objekata na koje želite dodijeliti prava. jer moramo odobriti prava na korisničke račune, odaberite Korisnički objekt. Ako želite odobriti pravo stvaranja i brisanja korisnika u ovom OU-u, odaberite opcije Stvaranje / brisanje odabranih objekata u ovoj mapi. U našem primjeru ne dajemo takva ovlaštenja.
Na popisu dopuštenja morate odabrati one povlastice koje želite delegirati. U našem ćemo primjeru odabrati pravo na otključavanje (Pročitajte vrijeme zaključavanja i Napisati zaključavanjeTime) i resetiranje zaporke (Ponovno postavljanje zaporke).
Da bi pronašao izvor blokiranja računa u domeni, korisnička podrška trebala bi pružiti pravo pretraživanja zapisa na kontrolerima domena.
Kliknite Dalje i na zadnjem zaslonu potvrdite dodjeljivanje odabranih dozvola.
Sada, pod korisničkim računom iz grupe HelpDesk, pokušajte pomoću PowerShell-a resetirati korisničku lozinku od OU korisnika, na primjer, iz PowerShell-a:
Set-ADAccountPassword petricdb -Reset -NewPassword (PretvoriTo-SecureString -AsPlainText „PPPPa $$ w0rd1” -Force -Verbose) -PassThru
Zaporka se mora uspješno resetirati (ako se podudara s politikom zaporke domene).
Sada pokušajte stvoriti korisnika u ovom OU pomoću cmdleta New-ADUser:
New-ADUser -Name kalininda -Path 'OU = Korisnici, OU = Moskva, OU = winitpro, OU = DC = ru' -Enabled $ true
Pogreška u pristupu trebala bi se pojaviti kao autorizaciju računa koje niste delegirali.
Možete koristiti evidenciju kontrolera domene za kontrolu korisnika kojima ste delegirali privilegije. Na primjer, možete pratiti tko je resetirao korisničku lozinku u domeni, saznati tko je stvorio korisnički račun u AD-u ili pratiti promjene u određenim AD grupama.
Prenos ovlaštenja za pridruživanje računalima u AD domeni
Prema zadanim postavkama, svaki korisnik domene može se pridružiti 10 računala domeni. Prilikom dodavanja 11. računala domeni pojavljuje se poruka o pogrešci.
Računalo se nije moglo pridružiti domeni. Premašili ste maksimalni broj računa na računalu koji ste dozvoljeni za stvaranje na ovoj domeni. Da biste postavili ili povećali ovo ograničenje, obratite se administratoru sustava.
Ovo ograničenje možete promijeniti na razini cijele domene povećanjem vrijednosti atributa MS-DS-MachineAccountQuota (Link). Ili (puno ispravnije i sigurnije), delegiranje prava na pridruživanje računala domeni u određenom OU određenoj korisničkoj skupini (helpdesk). Da biste to učinili, dodijelite pravo za izradu objekata tipa (Računalni objekti). U čarobnjaku za delegiranje odaberite Stvorite odabrane predmete u ovoj mapi.
A u odjeljku Dozvole odaberite Stvorite sve dječje predmete.
Onemogući prijenos prava u domeni AD
Da biste oduzeli grupu prethodno delegiranih OU prava, otvorite svojstva OU u ADUC konzoli i idite na karticu sigurnosti.
Na popisu dopuštenja pronađite grupu kojoj ste delegirali prava i kliknite Ukloni. Popis odobrenih dozvola može se vidjeti na kartici napredan. Kao što vidite, HelpDesku je dopušteno postavljanje lozinki.
Također s kartice Sigurnost -> Napredno možete konfigurirati delegiranje ovlaštenja dodjeljivanjem nestandardnih dozvola raznim sigurnosnim skupinama.
