Делегирование полномочий в Active Directory

Делегирование полномочий в Active Directory является штатной и очень важной операцией в обслуживании служб каталогов. В данной заметке я хочу дать правильный вектор движения в этом вопросе. Целью будет показать делегирование объектов пользователей, групп и компьютеров в организационной структуре каталога.

Правильная организационная структура каталога Active Directory

Перед тем как приступить непосредственно к задаче предоставления прав, следует выполнить подготовительные работы. А именно, требуется корректная организационная структура каталога. Первое, она должна быть. Второе, она должна быть гибкой и повторять организационную структуру предприятия.

Например, в организации, где присутствуют департаменты, отделы, продуктовые команды, структура может быть такой:

Пример организационной структуры Active Directory
Пример организационной структуры Active Directory

Стоит обратить внимание, что в каждой команде (Team) присутствует 3 организационные подразделения – компьютеры, пользователи и группы.  Подобный подход я часто использую, так как он предоставляет возможности филигранного делегирования полномочий и грамотного применение групповых политик.

Делегирование пользовательских объектов в Active Directory

Итак, делегирование будет осуществляется для группы безопасности, в которую входят младшие администраторы директории. Название группы будет следующим ACL_ADDS_Kyiv_Jun_Administrators. Оно составлено согласно политики именования групп. Имя составлено согласно структуре, которая поможет в определении назначения группы и упростит поиск в каталоге.

Перейдем в консоль Active Directory Users and Computers, выберем организационное подразделение, на объекты которого будут выполнятся делегирование полномочий. Будет использоваться мастер делегирования Active Directory.

Вызов мастера делегирования полномочий Active Directory
Вызов мастера делегирования полномочий Active Directory

В мастере, выбираем нужную группу:

Выбор группы для делегирования в Active Directory
Выбор группы для делегирования в Active Directory

Воспользуемся стандартными наборами прав. С их помощью будут предоставлены права на создание и управление пользовательскими аккаунтами в организационном подразделении.

Предоставление полномочий над пользователями Active Directory
Предоставление полномочий над пользователями Active Directory

После чего, работа мастера будет завершена:

Завершение работы мастера делегирования полномочий Active Directory
Завершение работы мастера делегирования полномочий Active Directory

Делегирование объектов групп в Active Directory

Процесс делегирования для объектов групп выполняется аналогичным образом. На этапе выбора наборов прав, выбираем следующее:

Предоставление полномочий над группами Active Directory
Предоставление полномочий над группами Active Directory

Делегирование объектов компьютеров в Active Directory

С данным типом объектов будет чуть сложнее. Причина в том, что в мастере отсутствует уже готовый набор полномочий. В таком случае стоит воспользоваться «кастомным» вариантом делегирования:

Выбор кастомного делегирования в Active Directory
Выбор кастомного делегирования в Active Directory

Далее, выбираем объекты компьютеров. Внизу так же отмечаем возможности их создания и удаления:

Выбор компьютерных объектов в мастере делегирования
Выбор компьютерных объектов в мастере делегирования

Для возможности сброса паролей компьютерных объектов, выставляем соответствующие полномочия:

Право на сброс паролей компьютерных объектов
Право на сброс паролей компьютерных объектов

Для возможности блокировать компьютерные объекты, дополнительно, предоставляем право на запись атрибута Write userAccountControl. Оно станет доступным после включения чек-бокса Property-specific, как показано на скриншоте:

Выбор атрибута userAccountControl в мастере делегирования
Выбор атрибута userAccountControl в мастере делегирования

Сам атрибут находится пости в конце списка.

Настройка делегирования для перемещения объектов пользователей, компьютеров и групп в Active Directory

Для задачи перемещения объектов между организационными подразделениями требуется дополнительная конфигурация. На технете можно найти таблицу с необходимыми правами, ее копия ниже:

ObjectOrganizational UnitPermission TabApply toPermission
UserSource Organizational UnitObjectThis object and all descendant objects (*)Delete User objects
PropertiesDescendant User objectsWrite Distinguished Name
PropertiesDescendant User objectsWrite name (**)
PropertiesDescendant User objectsWrite Name (**)
Destination Organizational UnitObjectThis object and all descendant objects (*)Create User objects
GroupSource Organizational UnitObjectThis object and all descendant objects (*)Delete Group objects
PropertiesDescendant Group objectsWrite Distinguished Name
PropertiesDescendant Group objectsWrite name (**)
PropertiesDescendant Group objectsWrite Name (**)
Destination Organizational UnitObjectThis object and all descendant objects (*)Create Group objects
ComputerSource Organizational UnitObjectThis object and all descendant objects (*)Delete Computer objects
PropertiesDescendant Computer objectsWrite Distinguished Name
PropertiesDescendant Computer objectsWrite name (**)
PropertiesDescendant Computer objectsWrite Name (**)
Destination Organizational UnitObjectThis object and all descendant objects (*)Create Computer objects

Выводы

Как показала практика, делегирование полномочий в Active Directory не является сложной задачей. Единственное затруднение может вызвать конфигурация для компьютерных объектов из-за отсутствия подготовленных шаблонов прав. Конечно, статья не описывает всех возможностей делегирования. Этот процесс не заканчивается на пользователях и компьютерах, но как я писал ранее — задача заметки дать правильный вектор движения в этом вопросе.

 

 

Оставить комментарий

avatar
  Подписаться  
Уведомление о