Gedelegeerde bevoegdheden implementeren

  • 10 minuten

U onderzoekt het rapport dat voor Contoso is geproduceerd door een bedrijf van IT-beveiligingsspecialisten. U realiseert zich dat gebruikersaccounts die lid zijn van groepen met hoge bevoegdheden, zoals Ondernemingsadministratoren en Domeinadministratoren, volledige toegang hebben tot alle systemen en gegevens. U herkent dat deze accounts nauw moeten worden bewaakt.

Er zijn echter gebruikers die bepaalde beheerdersrechten nodig hebben om hun taken uit te voeren. Helpdeskmedewerkers moeten bijvoorbeeld wachtwoorden opnieuw kunnen instellen en accounts kunnen ontgrendelen voor gewone gebruikers, terwijl sommige IT-medewerkers verantwoordelijk zijn voor het installeren van toepassingen op clients of servers of het uitvoeren van back-ups.

Hoewel Active Directory- en lidservers ingebouwde groepen hebben waaraan vooraf bepaalde bevoegdheden zijn toegewezen, zoals back-upoperators en accountoperators, zijn deze mogelijk niet geschikt voor uw behoeften. U moet nu bepalen hoe u deze beperkte beheerderstoegang het beste kunt bieden.

De wizard Delegering van besturingselementen gebruiken

Gedelegeerde bevoegdheden bieden een manier om beperkte bevoegdheid te verlenen aan opgegeven gebruikers of groepen. U kunt meer gedetailleerde bevoegdheden delegeren aan gebruikers of groepen met behulp van de wizard Beheer delegeren. Met de wizard kunt u machtigingen toewijzen op site-, domein- of organisatie-eenheidsniveau. De wizard bevat de volgende vooraf gedefinieerde taken die u kunt toewijzen:

  • Gebruikersaccounts maken, verwijderen en beheren.
  • Stel gebruikerswachtwoorden opnieuw in en dwing de wijziging van het wachtwoord af bij de volgende aanmelding.
  • Lees alle gebruikersgegevens.
  • Groepen maken, verwijderen en beheren.
  • Wijzig het lidmaatschap van een groep.
  • Een computer toevoegen aan het domein (alleen beschikbaar op domeinniveau).
  • Groepsbeleidskoppelingen beheren.
  • Genereer een resulterende set beleidsregels (planning).
  • Genereer een resulterende set beleidsregels (logboekregistratie).
  • Maak, verwijder en beheer inetOrgPerson-accounts.
  • Stel inetOrgPerson-wachtwoorden opnieuw in en forceer wachtwoordwijziging bij de volgende aanmelding.
  • Lees alle informatie over inetOrgPerson.

U kunt ook machtigingen combineren om aangepaste taken te maken en toe te wijzen.

Als u de wizard Delegering van besturingselementen wilt starten, opent u Active Directory en zoekt u de organisatie-eenheid (OE) waarvoor u de controle wilt delegeren.

Notitie

U kunt ook het besturingselement delegeren voor het domeinobject.

Tip

Als u de controle over een site wilt delegeren, gebruikt u het hulpprogramma Active Directory-sites en -services om het beheer te delegeren.

Gebruik vervolgens de volgende procedure:

  1. Klik met de rechtermuisknop op het contextmenu of activeer het contextmenu naar organisatie-eenheid en selecteer Beheer delegeren en selecteer vervolgens Volgende.

  2. Selecteer in de wizard Delegering van besturingselementen de gebruiker of groep waaraan u het besturingselement wilt delegeren en selecteer vervolgens Volgende.

    Tip

    Vermijd het toewijzen van rechten aan specifieke gebruikers. In plaats daarvan moet u groepen gebruiken, zelfs als de groep slechts één gebruiker bevat. Dit maakt doorlopend beheer eenvoudiger.

  3. Selecteer op de pagina Taken die u wilt delegeren uit een lijst met algemene taken of selecteer een aangepaste taak die u wilt delegeren. Als u bijvoorbeeld de mogelijkheid wilt delegeren om gebruikersaccounts te beheren, selecteert u het volgende:

    • Gebruikersaccounts maken, verwijderen en beheren.
    • Stel gebruikerswachtwoorden opnieuw in en dwing wachtwoordwijzigingen af bij de volgende aanmelding.
    • Lees alle gebruikersgegevens.

  4. Selecteer Voltooien.

Een schermopname van de pagina Taken om te delegeren in de wizard Delegering van het besturingselement. De beheerder heeft de taken geselecteerd die betrekking hebben op gebruikersbeheer.

Belangrijk

Nadat u gedelegeerde toegang hebt toegewezen, kunt u de wizard Overdracht van beheer niet gebruiken om uw instellingen te controleren.

Ga als volgende te werk om eerder geconfigureerde gedelegeerde taken te controleren:

  1. Selecteer In Active Directory in het menu de optie Weergave en selecteer vervolgens Geavanceerde functies.
  2. Zoek de organisatie-eenheid die u hebt gedelegeerd. Klik met de rechtermuisknop op het snelmenu of activeer het contextmenu en selecteer Eigenschappen.
  3. Selecteer in het dialoogvenster Eigenschappen van organisatie-eenheid het tabblad Beveiliging en selecteer Vervolgens Geavanceerd.
  4. Zoek de beveiligingsprincipaal waarnaar u het beheer hebt gedelegeerd en controleer de machtigingen. U kunt hier ook de gedelegeerde machtigingen wijzigen.

Een schermopname van het dialoogvenster Geavanceerde beveiligingsinstellingen voor IT. De beheerder heeft het tabblad Machtigingen geselecteerd. Weergegeven zijn de machtigingen voor de IT-organisatie-eenheid, inclusief gedelegeerde machtigingen voor ContosoAdmin.

Notitie

De wizard Overdracht van besturingselementen biedt een eenvoudige, wizardgestuurde interface voor de configuratie van AD DS-machtigingen voor AD DS-objecten.

Demonstratie

In de volgende video ziet u hoe u de wizard Delegering van besturingselementen gebruikt om gedelegeerde bevoegdheden te implementeren. De belangrijkste stappen in het proces zijn:

  1. Open Active Directory: gebruikers en computers.
  2. Maak een nieuwe groep met de naam Verkoopmanagers in de organisatie-eenheid Managers.
  3. Voeg een gebruiker toe aan de groep Verkoopmanagers .
  4. Voer de wizard Delegering van beheer uit, gericht op de verkoop-OE.
  5. Wijs de groep Verkoopmanagers de gebruikerswachtwoorden opnieuw instellen toe en dwing wachtwoordwijziging af bij de volgende aanmeldingsmachtiging voor de organisatie-eenheid Verkoop.
  6. Meld u aan als lid van de groep Verkoopmanagers en controleer of de gebruiker een wachtwoord kan opnieuw instellen voor gebruikers in de OE Sales , maar niet in de onderzoeks-OE .