Внедрение делегированных привилегий.

  • 10 мин

Вы изучите отчет, созданный для Contoso специалистами фирмы по ИТ-безопасности. Вы понимаете, что учетные записи пользователей, которые являются членами групп с высоким уровнем прав, таких как Администраторы предприятия и Администраторы домена, имеют полный доступ ко всем системам и данным. Вы знаете, что эти учетные записи должны быть хорошо защищены.

Однако существуют пользователи, которым требуются определенные права администратора для выполнения своих обязанностей. Например, сотрудники службы поддержки должны иметь возможность сбрасывать пароли и разблокировать учетные записи для обычных пользователей, в то время как некоторые ИТ-специалисты будут отвечать за установку приложений на клиентах или серверах или выполнение резервного копирования.

Хотя Active Directory и рядовые серверы имеют встроенные группы, которым назначены предварительно определенные привилегии, такие как операторы резервного копирования и операторы учетных записей, они могут не соответствовать вашим потребностям. Теперь необходимо определить, как лучше предоставлять этот ограниченный административный доступ.

Использование Мастера делегирования управления Delegation of Control Wizard

Делегированная привилегия предоставляет способ предоставления ограниченных полномочий определенным пользователям или группам. С помощью мастера делегирования управления вы можете делегировать более детализированные привилегии пользователям или группам. Этот мастер позволяет назначать допуски на уровне сайта, домена или подразделения. Мастер имеет следующие предопределенные задачи, которые можно назначить:

  • Создание и удаление учетных записей пользователей и управление ими.
  • Переустановка паролей пользователей и установка изменения пароля при следующей перезагрузке.
  • Чтение информации обо всех пользователях.
  • Создание, удаление учетных записей пользователей и управление ими.
  • Изменение членства в группах.
  • Присоединение компьютера к домену (доступно только на уровне домена).
  • Управление ссылками на групповые политики.
  • Генерация результирующего набора политик RSoP (Планирование).
  • Генерация RSoP (Протоколирование).
  • Создание, удаление и управление учетными записями inetOrgPerson.
  • Переустановка паролей inetOrgPerson и установка изменения пароля при следующей перезагрузке.
  • Чтение всей информации для inetOrgPerson.

Можно также сочетать разрешения для создания и назначения пользовательских задач.

Чтобы запустить Мастер делегирования управления, откройте Active Directory Users and Computers и выберите подразделение, для которого необходимо делегировать контроль.

Примечание.

Вы также можете делегировать управление объекту домена.

Совет

Чтобы делегировать управление сайтом, используйте средство Active Directory Sites and Services для делегирования управления.

Затем выполните следующую процедуру:

  1. Щелкните правой кнопкой мыши или активируйте контекстное меню для подразделения и выберите пункт Делегирование управления (Delegate Control), а затем нажмите кнопку Далее (Next).

  2. В Мастере делегирования управления выберите пользователя или группу, которым требуется делегировать управление, а затем нажмите кнопку Далее.

    Совет

    Не следует назначать права отдельным пользователям. Вместо этого следует использовать группы, даже если группа содержит только одного пользователя. Это упрощает текущее администрирование.

  3. На странице Задач для делегирования (Tasks to Delegate) выберите из списка общих задач или выберите настраиваемую задачу для делегирования. Например, чтобы делегировать возможность управления учетными записями пользователей, выберите следующее.

    • Создание и удаление учетных записей пользователей и управление ими.
    • Переустановка паролей пользователей и установка изменения пароля при следующем входе.
    • Чтение информации обо всех пользователях.

  4. Выберите Готово.

Снимок экрана: страница

Внимание

После назначения делегированного доступа нельзя использовать Мастер делегирования управления для просмотра ваших настроек.

Чтобы проверить ранее настроенные делегированные задачи, выполните следующие действия.

  1. В Active Directory Users and Computers в меню выберите View, а затем выберите Advanced Features.
  2. Найдите делегированное вами подразделение. Щелкните правой кнопкой мыши или активируйте контекстное меню и выберите пункт Свойства (Properties).
  3. В диалоговом окне Название отдела Properties выберите вкладку Security, а затем Advanced.
  4. Выделите субъект безопасности, которому делегировано управление, и проверьте разрешения. Также можно изменить делегированные разрешения здесь.

Снимок экрана: диалоговое окно

Примечание.

Мастер делегирования управления предоставляет простой интерфейс, управляемый мастером, для настройки разрешений AD DS для AD DS объектов.

Демонстрация

В следующем видео показано, как использовать Мастер делегирования управления для реализации делегированных привилегий. Основные этапы процесса следующие.

  1. Откройте оснастку Пользователи и компьютеры Active Directory.
  2. Создайте новую группу с названием Менеджеры по продажам (Sales Managers) в подразделении Managers OU.
  3. Добавьте пользователя в группу Sales Managers.
  4. Запустите Мастер делегирования управления, предназначенный для подразделения Sales.
  5. Назначьте Менеджерам по продажам (Sales Manager) допуск Сбрасывать пароли пользователей и принудительно требовать изменения пароля при следующем входе (Reset user passwords and force password change at next logon) в подразделение Sales.
  6. Войдите в систему как член группы менеджеров по продажам и убедитесь, что пользователь может сбросить пароль для пользователей в подразделении Sales, но не в подразделении Research.

Краткий обзор

1.

Один из администраторов в компании Contoso хочет делегировать управление компьютером небольшой группе ИТ-поддержки. Все эти компьютеры находятся в отделе продаж, а их учетные записи находятся в подразделении Sales OU. Придерживаясь рекомендаций, как следует продолжать работу администратора?