Ebben a cikkben megvizsgáljuk az adminisztrációs felhatalmazás jellemzőit az Active Directory tartományban. A delegálás lehetővé teszi bizonyos AD-menedzsment feladatok elvégzésének jogát a rendes domain felhasználók számára, kivéve azokat privilegizált domain csoportokban, mint például tartományi rendszergazdák, fiókkezelők stb. ... Például, a delegálás használatával megadhat egy meghatározott felhasználói csoportot (például a Helpdesk ) a felhasználói csoportok felvételének, az új felhasználók létrehozásának az AD-ben és a jelszó visszaállításának joga.
Tartalom:
- Az AD-ben a jogok átruházásának jellemzői
- A jelszavak visszaállítására és a fiókok feloldására vonatkozó felhatalmazás
- Az AD domain számítógépekhez való csatlakozásra vonatkozó felhatalmazás
- Letiltja a jogok átruházását az AD domainben
Az AD-ben a jogok átruházásának jellemzői
A varázsló felhatalmazást ad át az AD-hez Az ellenőrző varázsló delegálása az Active Directory felhasználók és számítógépek grafikus beépülő moduljában (DSA.msc).
Az AD-vel kapcsolatos adminisztratív jogok meglehetősen részletesen átruházhatók. Az egyik csoport megkaphatja a jelszó alaphelyzetbe állításának jogát az OU-ban, a másik - fiókok létrehozásához és törléséhez, a harmadik - a jelszó visszaállításához. Beállíthatja az engedély öröklését a beágyazott OU-k számára. A hatáskört a következők szintjén delegálhatja:
- AD-oldal
- Teljes domain
- Specifikus OU az Active Directory-ban.
Általában nem javasolt az engedélyek közvetlen átruházása a felhasználóra. Ehelyett hozzon létre egy új biztonsági csoportot az AD-ben, adjon hozzá egy felhasználót, és delegálja az OU-jogosultságot a csoportra. Ha ugyanazokat a jogokat kell megadnia a domainben egy másik felhasználó számára, akkor csak hozzá kell adnia őt a biztonsági csoporthoz.
Felhívjuk figyelmét, hogy nem adhat senkinek jogot az OU kezelésére adminisztratív fiókokkal. Ellenkező esetben könnyen előfordulhat olyan helyzet, hogy bármely támogatási személyzet visszaállíthatja a domain rendszergazda jelszavát. Minden érzékeny felhasználót és kiváltságos csoportot külön egységen kell elhelyezni, amelyre nem vonatkoznak az átruházási szabályok..A jelszavak visszaállítására és a fiókok feloldására vonatkozó felhatalmazás
Képzelje el a feladatot, hogy biztosítsa a HelpDesk csoport számára a jelszó visszaállításának és a domain felhasználói fiókjainak feloldásának jogát. Tehát hozzon létre egy új csoportot az AD-ben a PowerShell használatával:
New-ADGroup "HelpDesk" -út 'OU = Csoportok, OU = Moszkva, DC = corp, dc = winitpro, DC = ru' -GroupScope Global
Adja hozzá a szükséges felhasználókat a csoporthoz:
Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb
Indítsa el az Active Directory felhasználók és számítógépek (ADUC) konzolt, kattintson az RMB elemre az OU-val a felhasználókkal (példánkban ez 'OU = Felhasználók, OU = Moszkva, DC = corp, dc = winitpro, DC = ru'), és válassza a menüpontot Delegált irányítás.
Válassza ki azt a csoportot, amelyhez adminisztratív jogosultságokat kíván biztosítani..
Válassza ki a listából az előre definiált jogosultságok halmazát (delegálja a következő általános feladatokat):
- Felhasználói fiókok létrehozása, törlése és kezelése;
- Alaphelyzetbe állíthatja a felhasználói jelszavakat, és kényszerítheti a jelszó megváltoztatását a következő bejelentkezéskor;
- Olvassa el az összes felhasználói információt;
- Csoportok létrehozása, törlése és kezelése;
- Módosítsa a csoport tagságát;
- Csoportházirend-hivatkozások kezelése;
- Generál az ennek eredményeként létrejövő irányelvek halmazát (tervezés);
- Eredményes házirend létrehozása (naplózás);
- InetOrgPerson-fiókok létrehozása, törlése és kezelése;
- Állítsa vissza az inetOrgPerson jelszavakat és kényszerítse a jelszó megváltoztatását a következő bejelentkezéskor;
- Olvassa el az inetOrgPerson összes információját.
Vagy készítse el saját delegálási feladatát (Hozzon létre egy egyedi delegálási feladatot). A második lehetőséget választom.
Válassza ki az AD objektumok típusát, amelyekhez jogokat kíván adni. mert jogokat kell adnunk a felhasználói fiókokhoz, válasszuk Felhasználói objektum. Ha megadni kívánja a felhasználók létrehozásának és törlésének jogát ebben az OU-ban, válassza ki a lehetőségeket Hozzon létre / töröljön kiválasztott objektumokat ebben a mappában. Példánkban nem adunk ilyen felhatalmazást.
Az engedélyek listájában ki kell választania azokat a jogosultságokat, amelyeket delegálni szeretne. Példánkban a feloldás jogát választjuk (Olvassa el a lockoutTime oldalt és Írja a lockoutTime) és a jelszó visszaállítása (Jelszó visszaállítása).
A domain fiókjainak blokkolásának forrása megtalálásához a felhasználói támogatásnak jogot kell adnia a naplókban a tartományvezérlőkön való kereséshez.
Kattintson a Tovább gombra, és az utolsó képernyőn erősítse meg a kiválasztott engedélyek hozzárendelését.
Most, a HelpDesk csoport felhasználói fiókja alatt próbálja meg a PowerShell használatával visszaállítani a felhasználói jelszót az OU felhasználókra, például a PowerShellre:
Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa $$ w0rd1” -Force -Verbose) -PassThru
A jelszót sikeresen vissza kell állítani (ha megegyezik a domain jelszó házirendjével).
Most próbálja meg létrehozni egy felhasználót ebben az egységben az New-ADUser parancsmag segítségével:
New-ADUser -Name kalininda -Path 'OU = Users, OU = Moszkva, OU = winitpro, OU = DC = ru' - Engedélyezve $ true
Hozzáférési hiba jelenik meg, mint fiók jogosultságot nem átruházott.
A tartományvezérlő naplóival ellenőrizheti azokat a felhasználókat, akikre jogosultságokat ruházott fel. Például nyomon tudja követni, hogy ki állítja vissza a felhasználói jelszót egy domainben, megtudhatja, ki hozott létre felhasználói fiókot az AD-ben, vagy nyomon követheti bizonyos AD-csoportok változásait.
Az AD domain számítógépekhez való csatlakozásra vonatkozó felhatalmazás
Alapértelmezés szerint bármely tartományi felhasználó 10 számítógépet csatlakoztathat a tartományhoz. Amikor a 11. számítógépet hozzáadja a tartományhoz, hibaüzenet jelenik meg.
Nem sikerült számítógépét csatlakoztatni a domainhez. Túllépte a maximális számú számítógépes fiókot, amelyet megengedett létrehozni ebben a tartományban. Vegye fel a kapcsolatot a rendszergazdával, hogy ezt a korlátot visszaállítsa vagy növelje.
Ezt a korlátozást az egész tartomány szintjén megváltoztathatja az attribútum értékének növelésével ms-DS-MachineAccountQuota (Link). Vagy (sokkal helyesebb és biztonságosabb): a számítógépekhez való csatlakozás jogának átruházása egy adott OU tartományban egy adott felhasználói csoportra (helpdesk). Ehhez adja meg a jogot típusú objektumok létrehozására (Számítógépes objektumok). A delegálási varázslóban válassza a lehetőséget Hozzon létre kijelölt objektumokat ebben a mappában.
Az Engedélyek részben válassza a lehetőséget Hozzon létre minden gyermek objektumot.
Letiltja a jogok átruházását az AD domainben
A korábban átruházott OU-jogok egy csoportjának eltávolításához nyissa meg az OUC-tulajdonságokat az ADUC konzolon, és lépjen a fülre biztonság.
Az engedélyek listájában keresse meg azt a csoportot, amelyre átruházta a jogokat, és kattintson rá Vegye ki. A megadott engedélyek listája a lapon tekinthető meg fejlett. Mint láthatja, a HelpDesk visszaállíthatja a jelszavakat.
A fülről is Biztonság -> Haladó úgy konfigurálhatja a felhatalmazás átruházását, hogy a nem biztonsági engedélyeket különféle biztonsági csoportokhoz rendeli.
