Главная

Sunday, 17 June 2018

Способы делегирования административных полномoчий в АD.

Всем привет.

Очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов и администраторов филиалов.

Есть разные способы делегирования административных полномoчий в АD:

1) В OU Группа по меню «Свойства/Управляется/Изменить»  назначается Пользователь который может изменять только членство объектов в этой группе.

2) В OU Группа по меню «Делегирование управления…» назначается Пользователь которому далее назначается задача из предлагаемого списка, например «Создание, удаление и управление уч. записями пользователей».  Это дает ему право править в этой группе любой объект типа «Пользователь» и все его атрибуты.

3) С помощью создания Группы с ограниченным доступом. Создается еще одна группа администраторов которой назначаются ограниченные права на конкретный OU. 

Я много раз читал что таким образом можно предложить и отделу кадров править многие атрибуты пользователей, но никак не мог понять каким именно образом кадровики будут это делать.)

Думаю, с администратором филиала должно быть полегче. Итак, инструменты которыми можно править делегированные администратору филиала объекты AD:
- модуль RSAT Powershell: бесплатен, без GUI, требует знания Powershell, требует инсталляцию
- оснастка MMC «Пользователи и компьютеры AD»: бесплатен, не требует инсталляции.
- оснастка MMC ADSIEdit: бесплатен, не требует инсталляции
- утилита ADExplorer: бесплатен, не требует инсталляции
- утилита Softerra LDAP Administrator: 30 дней бесплатный период, требует инсталляцию.

Однако независимо от задачи делегирования существует видимость объектов в AD. По умолчанию все пользователи домена как члены группы «Прошедшие проверку» могут видеть все объекты в домене в режиме чтения.



Существуют штатные способы скрытия данных в АD:

1) манипуляции с обычными разрешениями объектов и атрибутов AD. Первоначально необходимо удалить все разрешения для соответствующего субъекта безопасности, а затем назначить новые. Плюсы: можно скрыть любой атрибут объекта. Минусы: надо использовать утилиту  dsacls «OU=newOU,DC=root,DC=net» /R «Authenticated Users», Имя объекта все равно будет видно, но значения атрибутов будут  <NotSet> или <Unknown>.

2) использование бита конфиденциальности. Плюсы: права не удаляются предварительно. Минусы: для назначения бита надо использовать утилиту  DSACLS /G: CA. Скрытию битом конфиденциальности поддаются только атрибуты базовой схемы, т.е. не все. Имя объекта все равно будет   видно, но  значения атрибутов будут <NotSet> или <Unknown>.

3) Использование режимов перечисления объектов (List contents и List Object Mode) в лесу.  List contents доступен всегда. Включение List Object Mode осуществляется путем изменения свойства dsHeuristics объекта Directory Services в AD. Видимость OU регулируется с помощью включения(отключения) режимов List contents и(или) List object.

4) Изменение для OU атрибутa showInAdvancedViewOnly в значение False дает скрытие только в базовом режиме оснастки MMC «Пользователи и компьютеры AD». В расширенном режиме оснастки все OU опять же будут видны.

Тестирование режима List contents показало что если конкретному пользователю (или группе) указать на выбранный ОU запрет как «Чтение содержимого», то это ничего не меняет - к сожалению видимость свойств ОU остается прежней.

Тестирование режима List object, увы, мне показало результат аналогично режиму List contents.

Однако, если конкретному пользователю (или группе) указать на выбранный ОU запрет как «Полный доступ», т.е. ВСЕ ЗАПРЕЩЕНО, то в результате получим:

Инструмент
Видимость объекта в AD
Видимость содержимого объекта
RSAT Powershell
Нет
нет
«Пользователи и компьютеры AD» msc
Нет
нет
ADSIEdit msc
Да
нет
ADExplorer
Да
нет
Softerra LDAP Administrator
Да
нет


Так что выбор за вами.

1 comment:

  1. Как еще посмотреть что делегировали и кому ? http://winitpro.ru/index.php/2018/12/29/active-directory-delegirovanie-admin-prav/

    ReplyDelete

А что вы думаете по этому поводу?