Implementar privilégios delegados

Concluído

Você estuda o relatório produzido para a Contoso por uma empresa de especialistas em segurança de TI. Você percebe que as contas de usuário que são membros de grupos de alto privilégio, como Administradores Corporativos e Administradores de Domínio, têm acesso completo a todos os sistemas e dados. Você reconhece que essas contas devem estar fortemente protegidas.

No entanto, exstem usuários que necessitam de certos direitos de administrador para executar tarefas. Por exemplo, a equipe de suporte técnico deve ser capaz de redefinir senhas e desbloquear contas para usuários comuns, enquanto algumas equipes de TI serão responsáveis por instalar aplicativos em clientes ou servidores ou executar backups.

Embora o Active Directory e os servidores membro tenham grupos internos que tenham privilégios atribuídos predeterminados, como Operadores de Backup e os Operadores de Conta, eles podem não atender às suas necessidades. Agora você precisa determinar a melhor maneira de fornecer esse acesso administrativo limitado.

Usar o Assistente para Delegação de Controle

O privilégio delegado fornece uma maneira de conceder autoridade limitada a usuários ou grupos especificados. Você pode delegar privilégios mais granulares a usuários ou grupos usando o Assistente de Delegação de Controle. O assistente permite que você atribua permissões no nível do site, domínio ou unidade organizacional. O assistente tem as seguintes tarefas predefinidas que você pode atribuir:

• Criar, excluir e gerenciar contas de usuário.
• Redefinir senhas de usuário e forçar a alteração da senha na próximo entrada.
• Ler todas as informações do usuário.
• Criar, excluir e gerenciar grupos.
• Modificar a associação de um grupo.
• Adicionar um computador no domínio (disponível somente no nível de domínio).
• Gerenciar links de Política de Grupo.
• Gerar Conjunto de Políticas Resultante (planejamento).
• Gerar Conjunto de Políticas Resultante (registro em log).
• Criar, excluir e gerenciar contas de inetOrgPerson.
• Redefinir senhas de inetOrgPerson e forçar a alteração da senha na próxima entrada.
• Ler todas as informações de inetOrgPerson.

Você também pode combinar permissões para criar e atribuir tarefas personalizadas.

Para iniciar o Assistente de Delegação de Controle, abra o Active Directory Usuários e Computadores e localize a UO (unidade organizacional) para a qual você deseja delegar o controle.

Observação

Você também pode delegar o controle no objeto de domínio.

Dica

Para delegar o controle sobre um site, use a ferramenta Active Directory sites e serviços para delegar o controle.

Depois, use o seguinte procedimento:

1. Clique com o botão direito do mouse ou ative o menu de contexto para a UO e selecione Delegar Controlee selecione Avançar.

2. No Assistente de Delegação de Controle, selecione o usuário ou grupo ao qual você deseja delegar o controle e selecione Avançar.

   Dica

   Evite atribuir direitos a usuários específicos. Em vez disso, use grupos, mesmo que o grupo contenha apenas um usuário. Isso torna a administração contínua mais fácil.

3. Na página Tarefas a Delegar, selecione em uma lista de tarefas comuns ou selecione uma tarefa personalizada a ser delegada. Por exemplo, para delegar a capacidade de gerenciar contas de usuário, selecione o seguinte:

   • Criar, excluir e gerenciar contas de usuário.
   • Redefinir senhas de usuário e forçar alterações das senhas no próximo logon.
   • Ler todas as informações do usuário.

4. Selecione Concluir.

Importante

Depois de atribuir acesso delegado, você não pode usar o Assistente de Delegação de Controle para revisar as configurações.

Para revisar as tarefas delegadas configuradas previamente:

1. Em Active Directory Usuários e Computadores, no menu selecione Exibir e selecione Recursos Avançados.
2. Localize a UO que você delegou. Clique com o botão direito do mouse ou ative o menu de contexto e selecione Propriedades.
3. Na caixa de diálogo Nome OUPropriedades selecione a guia Segurança e selecione Avançado.
4. Localize a entidade de segurança para a qual você delegou o controle e examine as permissões. Você também pode alterar as permissões delegadas aqui.

Observação

O Assistente de Delegação de Controle fornece uma interface simples e orientada por assistente para a configuração de permissões de AD DS em objetos AD DS.

Demonstração

O vídeo a seguir demonstra como usar o Assistente de Delegação de Controle para implementar privilégios delegados. As principais etapas do processo são:

1. Abra Computadores e Usuários do Active Directory.
2. Crie um novo grupo chamado Gerentes de Vendas na UO Gerentes.
3. Adicione um usuário ao grupo Gerentes de Vendas.
4. Execute o Assistente de Delegação de Controle, visando a UO Sales.
5. Atribua ao grupo Gerentes de Vendas a permissão Redefinir senhas de usuário e forçar alteração de senha na próxima entrada na OU de Vendas.
6. Entre como um membro do grupo Gerentes de Vendas e verifique se o usuário pode redefinir uma senha para os usuários na OU de Vendas, mas não na UO de Pesquisa.

Revisão rápida

1.

Um dos administradores na Contoso deseja delegar o gerenciamento do computador a uma pequena equipe no suporte de TI. Os computadores estão todos no departamento de vendas e suas contas residem na OU de vendas. Aderindo à melhor prática, o que o administrador deve fazer?

Criar um grupo para a equipe de gerenciamento do computador de vendas e criar uma delegação de tarefa personalizada para essa equipe na OU de vendas. A tarefa personalizada será para objetos de Computador.

Criar um grupo para a equipe de gerenciamento do computador de vendas e criar uma delegação de tarefa comum para essa equipe na OU de vendas.

Criar uma delegação de tarefa personalizada para os usuários na equipe de gerenciamento do computador de vendas na OU de vendas. A tarefa personalizada será para objetos de Computador.

É necessário responder a todas as perguntas antes de verificar o trabalho.