117.59K

Делегирование административных полномочий в Active Directory

1.

Делегирование административных полномочий в Active
Directory
Делегирование позволяет предоставить право на
выполнение некоторых задач управления AD обычным
пользователям домена, не включая их в
привилегированные доменные группы
Например, с помощью делегирования вы можете
предоставить определённой группе пользователей
(допустим, Helpdesk) право на добавление пользователей в
группы, заведение новых пользователей в AD и сброс
пароля.

2.

Особенности делегирования прав в Active Directory
Для делегирования прав в AD используется мастер Delegation of Control Wizard в графической
оснастке Active Directory Users and Computers (DSA.msc).
Active Directory Users and Computers
содержит значки папок и объектов,
содержащихся в этих папках. Эти папки
называются организационными
единицами (OU) и контейнерами.
Организационные единицы - это папки
со значком книги в середине. AD
поставляется с OU по умолчанию
Domain Controllers (Контроллеры
домена). Контейнеры - это папки, не
содержащие какого-либо значка.

3.

Административные права в AD можно делегировать на довольно
детальном уровне. Одной группе можно предоставить право на сброс
пароля в OU, другой – на создание и удаление аккаунтов, третьей на
сброс пароля. Можно настроить наследование разрешений на
вложенные OU. Вы можете делегировать права в AD на четырех
уровнях:
1.Сайта AD;
2.Всего домена;
3.Конкретной организационной единицей (OU в Active Directory);
4.Конкретного объекта AD.

4.

Несколько рекомендаций по правильному использованию делегирования административных
полномочий в AD:
• Не рекомендуется делегировать разрешения непосредственно для конретных учетных записей
пользователей. Вместо этого создайте в AD новую группу безопасности, добавьте в нее
пользователя и делегируйте полномочия на OU для этой группы. Если вам понадобится
предоставить такие же права в домене еще одному пользователю, вам будет достаточно добавить
его в группу безопасности;
• Старайтесь не использовать запрещающих разрешений, т.к. они имеют приоритет над
разрешающими;
• Периодически выполняйте аудит делегированных полномочий в домене (отчет с текущими
списками разрешений на OU можно сгенерировать с помощью PowerShell).
• Не делегируйте права на управление OU с административными аккаунтами. Иначе легко может
произойти ситуация, когда любой сотрудник службы поддержки может сбросить пароль
администратора домена. Все чувствительные пользователи и группы с повышенными
привилегиями нужно размещать в отдельной OU, на которую не распространяется правила
делегирования.

5.

Делегирование прав на сброс паролей и разблокировку учетных записей
Запустите консоль Active Directory Users and Computers (ADUC), щелкните ПКМ по OU с пользователями
и выберите пункт меню Delegate Control. (делегирование управления).Идем далее, выбираем
пользователей или группы которым мы будем делегировать права и выбираем какие права мы
собственно делегируем.
English     Русский Правила