By Данил in Active Directory

Делегирование изменения атрибутов объектов в Active Directory

Инструкция как предоставить права на изменения атрибутов для объектов в Active Directory

Делегирование позволяет предоставлять разрешения на выполнение некоторых задач управления Active Directory (AD) пользователям домена (не администратора) без добавления их в привилегированные группы доменов, такие как администраторы домена, операторы учетных записей и т. д. Например, можно использовать делегирование для предоставления определенной группе безопасности AD (например, Helpdesk) разрешения на добавление пользователей в группы, создание новых пользователей в AD и сброс паролей учетных записей.

Понимание делегирования разрешений Active Directory

Для делегирования разрешений в AD используется мастер делегирования управления в консоли Active Directory Users and Computers (DSA.msc).

Можно делегировать административные привилегии в AD на довольно детальном уровне. Например, предоставить одной группе сброс паролей в Organization Unit (OU), другой - для создания и удаления учетных записей пользователей, а третьей - для создания и изменения членства в группе. Можно настроить наследование разрешений на вложенных OU. Разрешения могут быть делегированы в Active Directory на следующих уровнях:

  • Сайт AD;
  • Весь домен;
  • Конкретная организационная единица (OU) в AD;
  • Конкретный объект AD.

Рекомендации по управлению делегированием в Active Directory:

  • Не рекомендуется делегировать (назначать) разрешения непосредственно конкретным учетным записям пользователей. Вместо этого рекомендуется создавать новую группу безопасности в AD, добавить в нее пользователя и делегировать разрешения на OU для этой группы. Если необходимо предоставить те же разрешения другому пользователю, то можно просто добавить пользователя в эту группу безопасности;
  • Избегать использования разрешений Deny, так как они превыше разрешенных;
  • Не предоставлять никому разрешение на управление OU с учетными записями администратора. В противном случае любой сотрудник службы поддержки может сбросить пароль администратора домена. Все привилегированные пользователи и группы должны быть помещены в отдельное OU, на которое не распространяются правила делегирования.

Делегирование на изменение атрибутов в Active Directory

Допустим, необходимо предоставить некоторой учетной записи права на изменения атрибута Description всем объектам расположенные в конкретной организационной единице (OU) в AD, например, в demo.daste.ru/TestOU.

Содержимое demo.daste.ru/TestOU

В оснастке ADUC необходимо правой кнопкой мыши щелкнуть на необходимую организационной единицу (OU) (в данном примере OU=TestOU,DC=demo,DC=daste,DC=ru) и выбрать пункт меню Delegate Control...

Вызов контекстного меню для OU

В появившемся мастере Delegate of Control Wizard, предпочтительно выбрать группу безопасности, где будут содержаться пользователи, которым данное право будет предоставляться, но в данном примере будет выбрана одна учетная запись User1.

Выбор группы или пользователя кому делегируются права

Так как требуется предоставить доступ к конкретному атрибуту объекта, то необходимо будет создать пользовательскую задачу, а не выбрать из уже предопределенных, например, права на создать или удалить учетную запись, создать или удалить группу и другие.

Далее выбираем тип задачи Create a custom task to delegate.

Выбор пользовательской задачи

На следующей странице мастера необходимо выбрать Only the following objects in the folder и отменить пункт User object, так как необходимы права на изменения атрибута объекта пользователя.

Выбор пункта пункт User object

На следующей странице мастера необходимо отметить Property-specific и найти необходимы атрибут в списке, Read Description и Write Description.

Выбор атрибута и уровень доступа

После сохранения настроек у пользователя User1 появится права на изменения атрибута Description объектам, расположенные в OU=TestOU,DC=demo,DC=daste,DC=ru при этом доступ к другим атрибутам будет только на чтение.

Сохранение настроек делегирования прав

Как просматривать и удалять делегированные разрешения в Active Directory

Любое количество правил делегирования может быть назначено OU в AD. Можно получить список групп и делегированных им разрешений в свойствах OU в консоли ADUC. Необходимо перейти на вкладку Security.

Вкладка Security для OU=TestOU,DC=demo,DC=daste,DC=ru

Эта вкладка содержит список объектов AD, которым были предоставлены разрешения для этого контейнера. Если нажать на кнопку Advanced, то можно детальнее получить информацию по выданным правам для объектов.

Список объектов предоставленными правами

Выбрав учетную запись User1 и нажать кнопку Edit, можно посмотреть каким атрибутам были предоставлены права данной учетной записи. Здесь отображаются все атрибуты и при необходимости можно добавить необходимые найдя в списке и выбрав необходимые права Read... и/или Write...

Список прав на атрибуты

Если необходимо удалить права, то в свойствах OU в разделе Security выбрать необходимую группу безопасности или учетную запись и нажать Remove. После чего сохранить изменения.

Удаление прав у пользователя из свойств объекта во вкладке Security