Як делегувати дозволи на скидання пароля для ІТ-персоналу - Як

Як делегувати дозволи на скидання пароля для ІТ-персоналу

Однією з переваг Active Directory або, принаймні, його керуючої частини, є можливість делегування дозволів на зміну різних аспектів каталогу до нижчих привілейованих користувачів.

З цією метою багато магазинів ІТ надають можливість скинути паролі користувачів до своїх відділів підтримки або менеджерів через певні відділи.

Ось як налаштувати делегування для групи користувачів, щоб мати можливість встановлювати паролі для іншої підмножини користувачів у певному підрозділі.

Якщо у вас немає структури OU, яка є дещо охайною (тобто ваші користувачі не розташовані в певній логічній структурі), то у вас можуть виникнути певні проблеми, що визначають, як правильно реалізувати це.

Я пропоную вам поглянути на ваш макет OU і визначити, що найкраще підходить для вас.

Загалом 6 кроків

Крок 1. Переконайтеся, що у вас є консоль користувачів AD


Ви можете перевірити групу "Адміністративні засоби" у меню "Пуск" Windows, щоб визначити, чи є у вас значок з позначкою "Користувачі та комп'ютери Active Directory". Якщо так, перейдіть до наступного кроку.

Рекомендується робити це з вашої робочої станції, тому знайдіть свій конкретний набір інструментів RSAT тут: https://wiki.samba.org/index.php/Installing_RSAT

*** Я розумію, що це сайт для Samba, але вони зберігають гарний, оновлений і консолідований список, на відміну від Microsoft!

Якщо ви хочете, ви також можете виконати ці кроки з вашого контролера домену.

Крок 2. Запустіть Майстер делегації керування, виберіть користувача або групу для делегування

Відкрийте ADUC, знайдіть дерево доменів і перейдіть до найвищого рівня, який ви хочете застосувати до дозволів користувача (наприклад, "Користувачі домену" на моєму робочому місці), клацніть правою кнопкою миші> "Делегувати контроль".

У вікні Ласкаво просимо натисніть "Далі".

У діалоговому вікні Користувачі або групи натисніть кнопку "Додати ...". Вам буде запропоновано додати користувача або групу, до якої ви будете застосовувати делеговані права.

У діалоговому вікні Вибір користувачів, комп'ютерів або груп введіть ім'я об'єкта (використовуйте ім'я користувача домену або ім'я домену для отримання найкращих результатів) або натисніть "Додатково"> "Знайти", щоб знайти свій ресурс, до якого потрібно застосувати дозволи .

Після вибору ресурсів натисніть "ОК" у діалоговому вікні Вибір користувачів, комп'ютерів або груп, потім натисніть "Далі" у діалоговому вікні Користувачі або групи.

Крок 3. Делегуйте завдання


У діалоговому вікні Завдання для делегування можна вибрати з широкого асортименту завдань, призначених користувачам.

***** Якщо ви тільки бажаєте делегувати завдання скидання пароля ****
Переконайтеся, що вибрано перемикач "Делегувати наступні загальні завдання" і виберіть "Скинути паролі користувачів і змінити пароль під час входу в систему" і натисніть кнопку "Далі".

Перейдіть до кроку 4.

**** Якщо ви додатково хочете делегувати можливість вмикати / вимикати облікові записи користувачів ****
Натисніть перемикач "Створити нестандартне завдання для делегування" і натисніть кнопку "Далі".

Натисніть перемикач "Тільки такі об'єкти в папці", виберіть "Об'єкти користувача" і натисніть кнопку "Далі".

У діалоговому вікні "Дозволи" встановіть прапорці "Загальні" та "Властивості", а у списку нижче перевірте такі дозволи:

Змінити пароль
Скинути пароль
Прочитайте userAccountControl
Написати userAccountControl

Натисніть кнопку "Далі".

Крок 4: Заповніть делегацію майстра керування


Після завершення делегування завдань ви можете натиснути кнопку "Завершити" в діалоговому вікні Завершення делегації майстра керування.

Тепер користувачі, яким ви делегували ці завдання, повинні мати можливість скинути паролі (або виконати інші дії, які ви вказали) на об'єктах у підрозділі, де встановлено делеговані дозволи.

Крок 5. Необов’язково: видалення делегованих дозволів

Видалення дозволів, які були неправильно застосовані, не є таким самим процесом, як їх застосування. Дозволи можна видаляти, клацнувши правою кнопкою миші на підрозділі, де було застосовано делеговані дозволи> "Властивості".Перейдіть на вкладку "Безпека".

Натисніть кнопку "Додатково".

Вас відкриють у діалоговому вікні Додаткові параметри безпеки для користувачів домену.

У розділі, позначеному як "Записи дозволу", знайдіть групу або користувача, якому ви делегували дозволи. Виділіть об'єкт і натисніть "Видалити". Якщо ви застосували ваші дозволи на більш високому рівні в структурі підрозділу, ви не зможете видалити їх з цього рівня, не порушуючи наслідків безпеки (які я б не рекомендував). Просто підніміться на інший рівень в структурі підрозділів і перевірте права там.

Крок 6. Необов'язково: блокування користувачів від скидання паролів чутливих облікових записів


Я виявив, що найкращим способом зробити це (інші можуть прокоментувати це!) Є створення під-OU в структурі OU, яку ви застосували до ваших дозволів, а потім явно заборонити дозволи на цьому рівні ... Адміни мережі як приклад.

У моїй структурі OU, у мене є OU під назвою "IT", потім я створив новий підрозділ під назвою "Мережеві адміністратори".

Клацніть правою кнопкою миші "OU> Мережеві адміністратори"> "Властивості", потім перейдіть на вкладку "Безпека". Натисніть кнопку "Додатково", а потім двічі клацніть ресурс, на який ви делегували дозволи.

Потім ви можете відхилити делегованих користувачів будь-яких змін паролів і т.д., знайшовши відповідний дозвіл у списку "Дозволи" і натиснувши на позначку "Заборонити" для кожного з них відповідно.

У цьому прикладі адміністратори домену зберігають можливість змінювати / скидати паролі для облікових записів мережевого адміністратора, але група підтримки ІТ (у нашому прикладі) цього не робить.

Делегування дозволів - це дуже хороший спосіб допомогти службі допомоги, менеджерам або іншим користувачам допомогти вам з деякими інформаційними процесами, які можуть споживати ваш день, що ускладнює зосередження на важливих або інших цікавих завданнях.