Делегирање административних овлашћења у Ацтиве Дирецториу

У овом чланку ћемо размотрити карактеристике делегирања административних овлашћења у домену Ацтиве Дирецтори. Делегација дозвољава давање права за обављање одређених задатака управљања у АД-у обичним корисницима домена, не укључујујући их у привилеговане домене, као што су администратори домена, оператери рачуна итд. ... На пример, коришћењем делегирања можете да обезбедите одређену групу корисника (на пример, Хелпдеск ) право додавања корисника у групе, успостављање нових корисника у АД-у и ресетовање лозинке.

Садржај:

  • Карактеристике преноса права у АД
  • Пренос овлашћења за ресетовање лозинки и откључавање налога
  • Пренос овлашћења за придруживање рачунара у АД домену
  • Онемогући делегирање права у домену АД

Карактеристике преноса права у АД

Чаробњак за делегирање овлашћења у АД-у Делегација чаробњака за контролу на графичком прикључку у активном директорију корисника и рачунара (ДСА.мсц).

Административна права у АД-у могу се делегирати на прилично детаљном нивоу. Једној групи се може дати право да ресетује лозинку у ОУ, другој - да креира и брише налоге, трећој - да ресетује лозинку. Можете конфигурирати насљеђивање дозвола за угнијежђене ОУ. Овлашћење можете делегирати на нивоу:

  1. АД сајт
  2. Укупан домен
  3. Специфични ОУ у Ацтиве Дирецториу.

Генерално се не препоручује делегирање дозвола директно кориснику. Уместо тога, направите нову безбедносну групу у АД-у, додајте јој корисника и делегирајте ОУ овлаштења групи. Ако иста права у домену морате да доделите другом кориснику, само морате да га додате у безбедносну групу.

Имајте на уму да никоме не смете дати право да управља ОУ административним рачунима. У супротном се лако може догодити ситуација када било који члан особља за подршку може ресетовати лозинку администратора домене. Сви осетљиви корисници и привилеговане групе морају бити смештени у посебан ОУ, што није подложно правилима делегирања..

Пренос овлашћења за ресетовање лозинки и откључавање налога

Замислите да је наш задатак пружити ХелпДеск групи право на ресетовање лозинке и откључавање корисничких налога у домену. Дакле, направите нову групу у АД-у помоћу ПоверСхелл-а:

Нев-АДГроуп "ХелпДеск" -патх "ОУ = Групе, ОУ = Москва, ДЦ = цорп, дц = винитпро, ДЦ = ру" -ГроупСцопе Глобал

У групу додајте потребне кориснике:

Адд-АдГроупМембер -Идентити ХелпДеск -Чланови ивановаа, семеноввб

Покрените конзолу Ацтиве Дирецтори за кориснике и рачунаре (АДУЦ), кликните РМБ на ОУ са корисницима (у нашем примеру је то 'ОУ = корисници, ОУ = Москва, ДЦ = цорп, дц = винитпро, ДЦ = ру') и одаберите ставку менија Делегатна контрола.

Изаберите групу којој желите да доделите административне привилегије..

Изаберите један од унапред дефинисаних скупова привилегија (делегирајте следеће уобичајене задатке) са листе:

  • Стварање, брисање и управљање корисничким налозима;
  • Ресетујте корисничке лозинке и примените промену лозинке код следеће пријаве;
  • Прочитајте све информације о корисницима;
  • Стварање, брисање и управљање групама;
  • Измене чланство у групи;
  • Управљање везама са политикама групе;
  • Стварање резултантног скупа политика (планирање);
  • Стварање резултантног скупа правила (евидентирање);
  • Стварање, брисање и управљање инетОргПерсон налогима;
  • Ресетујте лозинке инетОргПерсон и примените промену лозинке код следеће пријаве;
  • Прочитајте све информације инетОргПерсон.

Или направите свој властити задатак делегирања (Креирајте прилагођени задатак за делегирање). Изабраћу другу опцију.

Одаберите врсту АД објеката на које желите доделити права. Јер морамо да дамо права на корисничке налоге, одаберите Кориснички објект. Ако желите да одобрите право на креирање и брисање корисника у овом ОУ, одаберите опције Креирајте / обришите изабране објекте у овој мапи. У нашем примјеру не дајемо такве овласти.

На листи дозвола морате одабрати оне привилегије које желите делегирати. У нашем примеру изабрат ћемо право откључавања (Прочитајте вријеме закључавања и Пишите закључавањеТиме) и ресетовање лозинке (Ресетујте лозинку).

Да би пронашао извор блокирања налога у домену, корисничка подршка треба да обезбеди право претраживања дневника на контролерима домена.

Кликните Даље и на последњем екрану потврдите додељивање изабраних дозвола.

Сада, под корисничким налогом из групе ХелпДеск, покушајте помоћу ПоверСхелл-а да ресетујете корисничку лозинку од ОУ корисника, на пример, из ПоверСхелл-а:

Сет-АДАццоунтПассворд петрицдб -Ресет -НевПассворд (ЦонвертТо-СецуреСтринг -АсПлаинТект „ППППа $$ в0рд1“ -Форце -Вербосе) -ПассТхру

Лозинка мора бити успешно ресетована (ако се подудара са политиком лозинке домене).

Сада покушајте да створите корисника у овом ОУ помоћу цмдлета Нев-АДУсер:

Нев-АДУсер -Наме калининда -Патх 'ОУ = Корисници, ОУ = Москва, ОУ = винитпро, ОУ = ДЦ = ру' -Енаблед $ труе

Треба да се појави грешка у приступу, као ауторизацију налога коју нисте делегирали.

Можете користити евиденције контролера домена за контролу корисника којима сте делегирали привилегије. На пример, можете пратити ко је ресетовао корисничку лозинку у домену, сазнати ко је креирао кориснички налог у АД-у или пратити промене у одређеним АД групама.

Пренос овлашћења за придруживање рачунара у АД домену

Подразумевано, сваки корисник домене може да се придружи 10 рачунара. Када додајете 11. рачунар у домен, појављује се порука о грешци.

Рачунар није могао да се придружи домену. Прекорачили сте максимални број рачунарских налога које сте смели да креирате на овом домену. Да бисте поставили или повећали овај лимит, обратите се администратору система.

Ово ограничење можете променити на нивоу целе домене повећањем вредности атрибута мс-ДС-МацхинеАццоунтКуота (линк) Или (много тачније и сигурније), делегирање права на придруживање рачунара на домену у одређеном ОУ одређеној корисничкој групи (хелпдеск). Да бисте то учинили, доделите право на креирање објеката типа (Рачунарски објекти) У чаробњаку за делегирање одаберите Креирајте изабране објекте у овој мапи.

И у одељку Дозволе изаберите Креирајте све дечије објекте.

Онемогући делегирање права у домену АД

Да бисте скинули групу претходно делегираних ОУ права, отворите својства ОУ у АДУЦ конзоли и идите на картицу Сигурност.

На листи дозвола пронађите групу којој сте делегирали права и кликните Уклони. Листа одобрених дозвола може се видети на картици Напредно. Као што видите, ХелпДеску је дозвољено да ресетује лозинке.

Такође са картице Сигурност -> Напредно можете конфигурисати делегирање овлашћења додељивањем нестандардних дозвола разним безбедносним групама.