Delegieren von Administratorberechtigungen in Active Directory

In diesem Artikel sehen wir uns an, wie Sie administrative Berechtigungen in der Energetic Listing-Domäne delegieren. Mit der Delegierung können Sie allgemeinen Domänenbenutzern (Nicht-Administratoren) die Berechtigungen zum Ausführen einiger AD-Verwaltungsaufgaben erteilen, ohne sie zu Mitgliedern der privilegierten Domänengruppen wie Domänenadministratoren, Kontooperatoren usw. zu machen. Sie können beispielsweise die Delegierung an verwenden Erteilen Sie einer bestimmten AD-Sicherheitsgruppe (z. B. Helpdesk) die Berechtigungen zum Hinzufügen von Benutzern zu Gruppen, zum Erstellen neuer Benutzer in AD und zum Zurücksetzen der Kontokennwörter.

Grundlegendes zu delegierten Energetic Listing-Berechtigungen

Um Berechtigungen in AD zu delegieren, muss die Assistent zum Delegieren der Kontrolle in Energetic Listing-Benutzer und -Laptop (DSA.msc) verwendet.

Sie können Administratorrechte in AD auf einer ziemlich granularen Ebene delegieren. Sie können einer Gruppe die Berechtigungen zum Zurücksetzen von Passwörtern in der OU erteilen, einer anderen – zum Erstellen und Löschen von Benutzerkonten und der dritten – zum Erstellen und Ändern von Gruppenmitgliedschaften. Sie können die Berechtigungsvererbung für die verschachtelten Organisationseinheiten konfigurieren. Berechtigungen können in Energetic Listing auf den folgenden Ebenen delegiert werden:

• AD-Web page;
• Die ganze Domäne;
• Eine bestimmte Organisationseinheit (OU) in Energetic Listing;
• Ein bestimmtes AD-Objekt.

Easiest Practices für die Delegierungskontrolle in Energetic Listing:

• Es wird nicht empfohlen, Berechtigungen direkt an bestimmte Benutzerkonten zu delegieren (zuzuweisen). Erstellen Sie stattdessen eine neue Sicherheitsgruppe in AD, fügen Sie ihr einen Benutzer hinzu und delegieren Sie Berechtigungen für eine OU für diese Gruppe. Wenn Sie einem anderen Benutzer die gleichen Berechtigungen erteilen möchten, können Sie ihn einfach zu dieser Sicherheitsgruppe hinzufügen;
• Vermeiden Sie die Verwendung von „Deny“-Berechtigungen, da diese Vorrang vor zulässigen haben;
• Überprüfen Sie regelmäßig die delegierten Berechtigungen in der Domäne (ein Bericht mit den aktuellen Concentrate der Berechtigungen professional OU kann mit PowerShell erstellt werden);
• Gewähren Sie niemandem die Berechtigung, die OU mit den Administratorkonten zu verwalten. Andernfalls kann jeder Improve-Mitarbeiter das Domänenadministrator-Passwort zurücksetzen. Alle privilegierten Benutzer und Gruppen sollten einer separaten Organisationseinheit zugeordnet werden, die keinen Delegierungsregeln unterliegt.

Delegieren Sie das Zurücksetzen von Passwörtern und entsperren Sie Kontoberechtigungen in AD

Stellen wir uns vor, Ihre Aufgabe besteht darin, der HelpDesk-Gruppe die Berechtigungen zum Zurücksetzen von Passwörtern und zum Entsperren von Benutzerkonten in der Domäne zu erteilen. Lassen Sie uns mit PowerShell eine neue Sicherheitsgruppe in AD erstellen:

New-ADGroup "HelpDesk" -path 'OU=Teams,OU=Paris,OU=Fr,dc=woshub,DC=com' -GroupScope World

Gewünschte Benutzer zu dieser Gruppe hinzufügen:

Upload-AdGroupMember -Id HelpDesk -Participants rdroz, jdupont

Führen Sie das MMC-Snap-In „Energetic Listing-Benutzer und -Laptop“ aus (dsa.msc), klicken Sie mit der rechten Maustaste auf die OU mit den Benutzern (in unserem Beispiel ist es ‘OU=Customers,OU=Paris,OU=Fr,dc=woshub,DC=com’) und wählen Sie die Kontrolle delegieren Menüpunkt.

Wählen Sie die Gruppe aus, der Sie Administratorrechte gewähren möchten.

Wählen Sie eine der vorkonfigurierten Berechtigungen aus (delegieren Sie die folgenden allgemeinen Aufgaben):

• Benutzerkonten erstellen, löschen und verwalten;
• Benutzerkennwörter zurücksetzen und Kennwortänderung bei der nächsten Anmeldung erzwingen;
• Lesen Sie alle Benutzerinformationen;
• Gruppen erstellen, löschen und verwalten;
• Ändern Sie die Mitgliedschaft einer Gruppe;
• Gruppenrichtlinien-Hyperlinks verwalten;
• Richtlinienergebnissatz generieren (Planung);
• Richtlinienergebnissatz generieren (Protokollierung);
• inetOrgPerson-Konten erstellen, löschen und verwalten;
• inetOrgPerson-Passwörter zurücksetzen und Passwortänderung bei der nächsten Anmeldung erzwingen;
• Lesen Sie alle inetOrgPerson-Informationen.

Oder Erstellen Sie eine benutzerdefinierte Aufgabe zum Delegieren. Ich wähle die zweite Possibility.

Wählen Sie den Typ der AD-Objekte aus, denen Sie Administratorberechtigungen erteilen möchten. Da wir die Kontrolle über Benutzerkonten gewähren möchten, wählen Sie die aus Benutzerobjekt Artikel. Wenn Sie die Berechtigungen zum Erstellen oder Löschen von Benutzern in der OU erteilen möchten, wählen Sie die Optionen aus Ausgewählte Objekte in diesem Ordner erstellen/löschen. In unserem Beispiel gewähren wir solche Privilegien nicht.

Wählen Sie in der Liste der Berechtigungen diejenigen aus, die Sie delegieren möchten. In unserem Beispiel wählen wir die Berechtigungen zum Entsperren von Benutzerkonten (Sperrzeit lesen und Schreiben Sie lockoutTime) und um ein Passwort zurückzusetzen (Passwort zurücksetzen).

Klicken Sie auf Weiter und bestätigen Sie die Delegierung der ausgewählten Berechtigungen auf dem letzten Bildschirm.

Versuchen Sie nun unter einem Benutzerkonto aus der HelpDesk-Gruppe, ein Passwort des Benutzers aus der Ziel-OU mit PowerShell zurückzusetzen:

Set-ADAccountPassword gchaufourier -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “P@ssdr0w1” -Drive -Verbose) –PassThru

Das Kennwort sollte erfolgreich zurückgesetzt werden (wenn es mit der Domänenkennwortrichtlinie übereinstimmt).

Versuchen Sie nun, mit dem New-ADUser-Cmdlet einen Benutzer in dieser OU zu erstellen:

New-ADUser -Identify gmicheaux -Trail 'OU=Customers,OU=Paris,OU=FR,DC=woshub,DC=com' -Enabled $true

Es sollte ein Fehler „Zugriff verweigert“ angezeigt werden, da Sie die Rechte zum Erstellen neuer AD-Konten nicht delegiert haben.

Sie können Domänencontroller-Sicherheitsprotokolle verwenden, um die Aktionen von Benutzern zu überwachen, an die Sie Administratorberechtigungen delegiert haben. Sie können beispielsweise nachverfolgen, wer ein Benutzerkennwort in der Domäne zurückgesetzt hat, wer ein Benutzerkonto in AD erstellt hat oder Änderungen in sensiblen AD-Gruppen nachverfolgen.

Delegieren Sie Berechtigungen zum Beitritt von Computern zur AD-Domäne

Standardmäßig kann jeder Domänenbenutzer bis zu 10 Laptop der Domäne beitreten. Beim Hinzufügen der 11^th Laptop, wird ein Fehler angezeigt:

Your laptop may just now not be joined to the area. You've exceeded the utmost selection of laptop accounts you're allowed to create on this area. Touch your machine administrator to have this restrict reset or larger.

Sie können diese Einschränkung auf domänenweiter Ebene ändern, indem Sie den Wert von erhöhen ms-DS-MachineAccountQuota Attribut. Oder (used to be korrekter und sicherer ist) indem die Berechtigungen zum Beitritt von Computern zu einer bestimmten OU an eine bestimmte Benutzergruppe (Helpdesk) delegiert werden. Delegieren Sie dazu die Berechtigungen zum Erstellen von Objekten Computerobjekte Artwork. Wählen Sie im Assistenten zum Delegieren der Kontrolle aus Ausgewählte Objekte in diesem Ordner erstellen.

Auswählen Alle untergeordneten Objekte erstellen im Abschnitt Berechtigungen.

Wenn Sie das Recht zum Verschieben von Objekten zwischen Organisationseinheiten in AD delegieren möchten, müssen Sie die folgenden Berechtigungen erteilen: Benutzerobjekte löschen, Eindeutigen Namen schreiben, Namen schreiben (**), Benutzer- (oder Laptop-) Objekte erstellen.

Wie kann ich delegierte Berechtigungen in Energetic Listing anzeigen und entfernen?

Einer OU im AD können beliebig viele Delegierungsregeln zugeordnet werden. Eine Liste der Gruppen und der an sie delegierten Berechtigungen erhalten Sie in den Eigenschaften der OU in der ADUC-Konsole. Gehen Sie zum Sicherheit Tab.

Diese enthält eine Liste von AD-Subjekten, denen Berechtigungen für diesen Container erteilt wurden. Sie können die Liste der erteilten Berechtigungen auf der Seite einsehen Fortschrittlich Tab. Wie Sie sehen, darf die HelpDesk-Gruppe Passwörter zurücksetzen.

Sie können eine bestimmte Gruppe von Administratorberechtigungen widerrufen, die zuvor durch Delegierung zugewiesen wurden. Suchen Sie den Namen der Gruppe, an die Sie Berechtigungen delegiert haben, und klicken Sie darauf Entfernen.

Außerdem auf der Sicherheit -> Fortschrittlich Auf der Registerkarte können Sie delegierte Berechtigungen manuell verschiedenen Sicherheitsgruppen zuweisen.

Wie delegiere ich Berechtigungen in Energetic Listing mit PowerShell?

Sie können eine Liste der Berechtigungen abrufen, die an die Organisationseinheit delegiert sind, oder die aktuellen Berechtigungen mithilfe von PowerShell ändern. Die Get-ACL und Set-ACL Cmdlets werden verwendet, um Berechtigungen in Energetic Listing anzuzeigen und zu ändern (dieselben PowerShell-Cmdlets werden verwendet, um NTFS-Berechtigungen für Dateien und Ordner zu verwalten).

Das folgende einfache Skript listet alle nicht standardmäßigen Berechtigungen auf, die an eine bestimmte Organisationseinheit in AD delegiert werden:

# get the OU
$OUs = Get-ADOrganizationalUnit -Filter out 'DistinguishedName -eq "OU=Customers,OU=Paris,DC=woshub,DC=com"'| Make a choice-Object -ExpandProperty DistinguishedName
$schemaIDGUID = @{}
$ErrorActionPreference="SilentlyContinue"
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Homes identify, schemaIDGUID |
ForEach-Object {$schemaIDGUID.upload([System.GUID]$_.schemaIDGUID,$_.identify)}
Get-ADObject -SearchBase "CN=Prolonged-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Homes identify, rightsGUID |
ForEach-Object {$schemaIDGUID.upload([System.GUID]$_.rightsGUID,$_.identify)}
$ErrorActionPreference="Proceed"
ForEach ($OU in $OUs) {
$file += Get-Acl -Trail "AD:$OU" |
Make a choice-Object -ExpandProperty Get admission to |
Make a choice-Object @{identify="organizationalUnit";expression={$OU}}, `
@{identify="objectTypeName";expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaIDGUID.Merchandise($_.objectType)}}}, `
@{identify="inheritedObjectTypeName";expression={$schemaIDGUID.Merchandise($_.inheritedObjectType)}}, `
*
}
# file with assigned OU permissions

Sie können den Bericht über delegierte Berechtigungen mit einem grafischen Out-GridView-Cmdlet abrufen:

$file| the place {($_.IdentityReference -notlike "*BUILTIN*") -and ($_.IdentityReference -notlike "*NT AUTHORITY*") }| Out-GridView

Oder exportieren Sie die Liste der Berechtigungen zur weiteren Analyse in Excel in eine CSV-Datei (Sie können Daten aus einem PowerShell-Skript direkt in eine Excel-Datei schreiben):
$file | Export-Csv -Trail "C:reportsAD_OU_Permissions.csv" –NoTypeInformation

Der resultierende Bericht zeigt, dass der HelpDesk-Gruppe die Berechtigungen zum Zurücksetzen von Benutzerpasswörtern (ObjectTypeName=Consumer-Drive-Alternate-Password) in der OU delegiert wurden.

Du kannst den … benutzen dsacls Instrument zum Delegieren von Rechten an eine OU. Zum Beispiel:

dsacls "ou=customers,ou=paris,dc=woshub,dc=com" /I:S /G "WOSHUBHELPDESK:CA;Reset Password;person" "WOSHUBHELPDESK:WP;pwdLastSet;person" "WOSHUBHELPDESK:WP;lockoutTime;person

Sie können dem Organisationseinheitscontainer auch mithilfe von PowerShell Berechtigungen zuweisen (in diesem Beispiel werden die Berechtigungen zum Zurücksetzen des Kennworts delegiert):

$ou = "AD:OU=customers,OU=Paris,DC=woshub,DC=com"
$staff = Get-ADGroup helpdesk
$sid = new-object Machine.Safety.Most important.SecurityIdentifier $staff.SID
$ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529"
$UserObjectType = "bf967aba-0de6-11d0-a285-00aa003049e2"
$ACL = get-acl $OU
$RuleResetPassword = New-Object Machine.DirectoryServices.ActiveDirectoryAccessRule ($sid, "ExtendedRight", "Permit", $ResetPassword, "Descendents", $UserObjectType)
$ACL.AddAccessRule($RuleResetPassword)
Set-Acl -Trail $OU -AclObject $ACL

Auf ähnliche Weise können Sie mithilfe von PowerShell andere Berechtigungen an AD-Organisationscontainer delegieren.