V tem članku bomo preučili značilnosti prenosa upravnih pooblastil v domeni Active Directory. Delegiranje omogoča dodelitev pravice do izvajanja določenih nalog upravljanja v AD navadnim uporabnikom domen, ne da bi jih vključili v privilegirane skupine domen, na primer skrbnike domen, operaterje računov itd ... Na primer, s prenosom lahko zagotovite določeno skupino uporabnikov (na primer Helpdesk ) pravico dodajanja uporabnikov v skupine, vzpostavitve novih uporabnikov v AD-ju in ponastavitve gesla.
Vsebina:
- Značilnosti prenosa pravic v AD
- Prenos pooblastila za ponastavitev gesel in odklepanje računov
- Prenos pooblastila za pridružitev računalnikom v domeni AD
- Onemogoči prenos pravic v domeni AD
Značilnosti prenosa pravic v AD
Čarovnik se uporablja za prenos pooblastila na AD Delegacija čarovnika za nadzor v grafičnem prikazovalniku uporabnikov in računalnikov Active Directory (DSA.msc).
Upravne pravice v AD se lahko prenesejo na precej podrobni ravni. Ena skupina lahko dobi pravico za ponastavitev gesla v OU, druga - za ustvarjanje in brisanje računov, tretja - za ponastavitev gesla. Lahko nastavite dedovanje dovoljenj za ugnezdene OU. Pooblastilo lahko prenesete na ravni:
- AD mesto
- Skupna domena
- Specifični OU v aktivnem imeniku.
Na splošno ni dovoljeno, da dovoljenja neposredno prenesete na uporabnika. Namesto tega ustvarite novo varnostno skupino v AD-ju, dodajte uporabnika in pooblastilo OU prenesete na skupino. Če morate iste pravice v domeni podeliti drugemu uporabniku, ga morate dodati samo v varnostno skupino.
Upoštevajte, da nikomur ne smete podeliti pravice upravljanja OU z administrativnimi računi. V nasprotnem primeru se lahko zlahka zgodi, da lahko kateri koli član podpornega osebja ponastavi geslo skrbnika domene. Vsi občutljivi uporabniki in privilegirane skupine morajo biti nameščeni v ločeni OU, za katero ne veljajo pravila prenosa..Prenos pooblastila za ponastavitev gesel in odklepanje računov
Predstavljajte si, da je naša naloga zagotoviti skupini HelpDesk pravico, da ponastavi geslo in odklene uporabniške račune v domeni. Torej, ustvarite novo skupino v AD-ju z uporabo PowerShell-a:
New-ADGroup "HelpDesk" -path "OU = Skupine, OU = Moskva, DC = corp, dc = winitpro, DC = ru" -GroupScope Global
V skupino dodajte potrebne uporabnike:
Add-AdGroupMember -Identity HelpDesk -Člani ivanovaa, semenovvb
Zaženite konzolo Active Directory Uporabniki in računalniki (ADUC), kliknite RMB na OU z uporabniki (v našem primeru je to 'OU = Uporabniki, OU = Moskva, DC = corp, dc = winitpro, DC = ru') in izberite postavko v meniju Delegatni nadzor.
Izberite skupino, ki ji želite dodeliti upravne privilegije..
Izberite enega od vnaprej določenih nabora privilegij (delegirajte naslednje običajne naloge) s seznama:
- Ustvarjanje, brisanje in upravljanje uporabniških računov;
- Ponastavite uporabniška gesla in prisilite spremembo gesla pri naslednji prijavi;
- Preberite vse informacije o uporabniku;
- Ustvarjanje, brisanje in upravljanje skupin;
- Spremenite članstvo v skupini;
- Upravljanje povezav s politiko skupine;
- Ustvarijo ustrezen nabor politik (načrtovanje);
- Ustvari resničen niz pravilnikov (beleženje);
- Ustvarjanje, brisanje in upravljanje računov inetOrgPerson;
- Ponastavite gesla inetOrgPerson in prisilite spremembo gesla pri naslednji prijavi;
- Preberite vse informacije inetOrgPerson.
Ali ustvarite svojo nalogo prenosa (ustvarite nalogo po meri za prenos). Izbral bom drugo možnost.
Izberite vrsto objektov AD, do katerih želite podeliti pravice. Ker odobriti moramo pravice do uporabniških računov, izberite Uporabniški objekt. Če želite podeliti pravico do ustvarjanja in brisanja uporabnikov v tej OU, izberite možnosti Ustvari / izbriši izbrane predmete v tej mapi. V našem primeru ne dajemo takšnih pooblastil.
Na seznamu dovoljenj morate izbrati tiste privilegije, ki jih želite prenesti. V našem primeru bomo izbrali pravico za odklepanje (Preberite čas zaklepanja in Zapišite čas) in ponastavitev gesla (Ponastavitev gesla).
Če želite najti vir blokiranja računov v domeni, bi morala uporabniška podpora zagotoviti pravico do iskanja po dnevnikih na nadzornikih domene.Kliknite Naprej in na zadnjem zaslonu potrdite dodelitev izbranih dovoljenj.
Zdaj pod uporabniškim računom iz skupine HelpDesk poskusite s programom PowerShell ponastaviti uporabniško geslo od uporabnikov OU, na primer iz PowerShell:
Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "PPPPa $$ w0rd1" -Force -Verbose) -PassThru
Geslo je treba uspešno ponastaviti (če ustreza pravilniku o geslu domene).
Zdaj poskusite ustvariti uporabnika v tem OU z ukaznim ukazom New-ADUser:
New-ADUser -Name kalininda -Path 'OU = Uporabniki, OU = Moskva, OU = winitpro, OU = DC = ru' -Omogočeno $ true
Napaka pri dostopu se mora prikazati kot pooblastila računa, ki ga niste delegirali.
Dnevnike krmilnika domene lahko uporabite za nadzor uporabnikov, katerim ste delegirali privilegije. Na primer, lahko sledite, kdo je ponastavil uporabniško geslo v domeni, ugotovite, kdo je ustvaril uporabniški račun v AD-ju, ali spremljate spremembe v določenih skupinah AD.
Prenos pooblastila za pridružitev računalnikom v domeni AD
Vsak uporabnik domene se lahko privzeto pridruži 10 računalnikom. Ko dodate 11. računalnik v domeno, se prikaže sporočilo o napaki.
Vašega računalnika ni bilo mogoče pridružiti domeni. Presegli ste največje dovoljeno število računalniških računov, ki jih lahko ustvarite v tej domeni. Če želite ponastaviti ali povečati to mejo, se obrnite na skrbnika sistema.To omejitev lahko spremenite na ravni celotne domene, tako da povečate vrednost atributa ms-DS-MachineAccountQuota (povezava). Ali (veliko bolj pravilno in varnejše), prenos pravice do združevanja računalnikov v domeno v določenem OU na določeno uporabniško skupino (služba za pomoč). Če želite to narediti, dodelite pravico do ustvarjanja vrst predmetov (Računalniški predmeti) V čarovniku prenosa izberite Ustvari izbrane predmete v tej mapi.
In v razdelku Dovoljenja izberite Ustvari vse otroške predmete.
Onemogoči prenos pravic v domeni AD
Če želite odstraniti skupino prej prenesenih pravic OU, odprite lastnosti OU v konzoli ADUC in pojdite na zavihek Varnost.
Na seznamu dovoljenj poiščite skupino, ki ste ji delegirali pravice, in kliknite Odstrani. Seznam odobrenih dovoljenj si lahko ogledate na zavihku Napredno. Kot lahko vidite, je HelpDesk dovoljeno ponastaviti gesla.
Tudi z zavihka Varnost -> Napredno lahko konfigurirate prenos pooblastil z dodeljevanjem nestandardnih dovoljenj različnim varnostnim skupinam.