Active Directory
Делегирование полномочий на добавление компьютеров в домен
- Печать
- Создать глобальную группу безопасности grp_AdminComps через оснастку «Active Directory – пользователи и компьютеры».
- Указать, что присоединять компьютеры к домену могут лишь пользователи, входящие в созданную группу grp_AdminComps. Через оснастку «Управление групповой политикой» перейти к редактированию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers». В редакторе перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и найти параметр политики, который называется «Добавление рабочих станций к домену». Изменить этот параметр — добавить группу grp_AdminComps
- Выполнить делегирование для группы grp_AdminComps на создание и удаление объекта компьютер в необходимых подразделениях (это позволит и перемещать компьютер между подразделениями). Для этого в оснастке «Active Directory – пользователи и компьютеры» вызвать контекстное меню (правой кнопокй мыши) для необходимых подразделений и выбрать опцию «Делегирование управления»:
- Назад
- Вперёд
- Вы здесь:
- Главная />
- Active Directory />
- Делегирование полномочий на добавление компьютеров в домен
- Все заводимые компьютеры в домене по умолчанию помещаются в отстойник Computers, а далее руками перенести.
- Воспользоваться заведением в указанный контейнер средствами командной строки.
- Перейти в настройки делегирования: Управление доменом — Роли и права доступа — Делегирование прав на организационную единицу — Новое делегирование
- Для параметра Наименование подразделения указать основное подразделение (с именем домена)
- В секции Предоставляемые права на компьютер добавить права на добавление и изменение с помощью активации соответствующих опций:
Далее указать группу, для которой делаем делегирование полномочий:
Далее переключить «Создать особую задачу для делегирования
Далее переключить в «только следующими объектами в этой папке», выбрать «Компьютер объектов», установить птицы «Создать в этой папке выбранные объекты», «Удалить из этой папки выбранные объекты»:
Далее указать, что делегируется разрешение «Запись»
Делегирование административных задач в Active Directory
Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL вы можете просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP» (некоторые средства будут подробнее рассмотрены далее в данной статье). Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства. Но это уже совсем другая тема.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.
Пример делегирование административных полномочий
-
Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:
Определение задач, для которых было предоставлено делегирование
-
Первый метод – это использование оснастки «Active Directory – пользователи и компьютеры». Прежде всего, для того чтобы просмотреть задачи, которые были делегированы, следует в меню «Вид» включить для самой оснастки отображение дополнительных компонентов. После этого необходимо перейти к диалоговому окну свойств подразделения, для которого выполнялось делегирование. Так как в предыдущем разделе выполнялось делегирование для уровня всего домена, в данном примере открывается диалоговое окно свойств домена.
В отобразившемся диалоговом окне следует перейти на вкладку «Безопасность», а затем оттуда вызвать диалоговое окно дополнительных параметров безопасности. Здесь, в отобразившемся диалоговом окне, вы можете обнаружить все записи ACE, которые были заданы как по умолчанию, так и при помощи мастера делегирования. Например, на следующей иллюстрации видно, что для группы «Поддержка» было добавлено разрешение, позволяющее создавать объекты «Компьютер»:
Рис. 8. Подключение к контроллеру домена
После этого следует выполнить привязку, используя одноименную команду из меню «Подключение». Так как в данный момент я выполнил вход в систему от учетной записи администратора, я могу не вводить учетные данные, а сразу в отобразившемся диалоговом окне «Привязка» нажать на кнопку «ОК», как показано ниже:
Рис. 9. Выполнение привязки
Теперь можно подключиться к необходимому подразделению или же сразу ко всему домену, выбрав команду «Дерево» из меню «Вид». В том случае, если следует просмотреть весь домен, можно оставить поле пустым, однако если вы планируете просматривать конкретное подразделение, следует указывать различающееся имя в следующем формате: «OU=имя OU, DN=domain…».
Затем для того, чтобы увидеть, кому было предоставлено делегирование, следует просмотреть всю структуру в древовидном представлении. Другими словами, из меню «Вид» выбираем команду «Дерево» и в отобразившемся диалоговом окне «Дерево» указываем базовое расширяемое имя (либо, так как в приведенном примере необходимо просмотреть весь домен, можно оставить данное текстовое поле пустым).
Уже находясь в привычной области дерева, необходимо выбрать подразделение, предоставление прав к которому следует проверить, а затем из контекстного меню выбрать команду «Дополнительно» и «Дескриптор безопасности». В отобразившемся диалоговом окне обязательно удостоверьтесь в том, что у вас выбран правильный DN, а также в том, что установлен флажок на опции «Список ACL», как показано на следующей иллюстрации:
Рис. 10. Открытие диалогового окна дескрипторов безопасности
Теперь в отобразившемся диалоговом окне вы можете просмотреть все группы и пользователей, которым были предоставлены определенные разрешения. При необходимости вы также можете отредактировать либо удалить делегируемые разрешения, воспользовавшись соответствующими кнопками. Диалоговое окно дескрипторов безопасности, как и окно редактирования делегируемых разрешений, отображены на следующей иллюстрации:
Рис. 12. Переход к свойствам выбранного объекта
После работы с оснасткой «Active Directory – пользователи и компьютеры» вы сможете сразу определиться, что нужно сделать. В отобразившемся диалоговом окне следует перейти к группе «Разрешения», и просто останется лишь выбрать требуемую группу и перейти к диалогу дополнительных параметров безопасности. Группа разрешений отображена ниже:
Разрешения перемещения объектов между подразделениями
Последняя задача, которая будет рассмотрена в данной статье, представляет собой реализацию разрешения перемещения объектов компьютеров между подразделениями для группы безопасности «Поддержка». Так как в предыдущий раз разрешения для присоединения компьютеров к домену мы реализовывали средствами делегирования управления, следует и в этот раз попробовать поискать средства решения этой задачи в данном мастере. Для решения этой задачи нужно будет отредактировать некоторые разрешения для контейнера «Computers», так как известно, что объекты групповой политики невозможно связывать с данным контейнером, а сотрудникам подразделения поддержки необходимо распределять компьютеры по различным подразделениям.
После открытия мастера делегирования управления и добавления целевой группы вы обнаружите, что среди обычных задач невозможно выполнить подобные действия. В этом случае следует попробовать воспользоваться списком особых задач для делегирования. В отобразившемся диалоговом окне вам предоставляется возможность делегирования всех объектов в выбранном вами контейнере (в этом случае вам следует установить переключатель на опцию «этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»), а также возможность передачи управления только выбранным объектам, которые можно найти в соответствующем списке (опция «только следующим объектам в этой папке»).
Среди доступных объектов следует установить флажок на опции «Компьютер объектов», а затем под данным списком установить флажок на опции «Удалить из этой папки выбранные объекты».
Диалоговое окно данной страницы мастера делегирования изображено на следующей иллюстрации:
Рис. 15. Страница создания особой задачи для делегирования
После этого, на следующей странице мастера, странице «Разрешения» — следует указать, что делегируется разрешение «Запись», и этого будет достаточно.
Так как задачу по перемещению можно разделить на две части – удаление объекта из контейнера «Computers» и последующее создание объекта в другом подразделении – исключительно в качестве примера, создание объектов в специально созданном подразделении для учетных записей компьютеров будет продемонстрировано средствами изменения дополнительных параметров безопасности для требуемого подразделения (подобные действия были рассмотрены в предыдущем разделе).
Сейчас, в том случае, если вы закрывали оснастку «Active Directory – пользователи и компьютеры», нужно включить для нее отображение дополнительных компонентов, а затем перейти к диалоговому окну свойств подразделения, в которое должны перемещаться учетные записи компьютеров. В моем случае это подразделение «Клиенты».
В диалоговом окне свойств данного подразделения следует перейти ко вкладке «Безопасность», а затем открыть диалоговое окно дополнительных параметров безопасности. В отобразившемся диалоговом окне следует локализовать добавленную ранее группу и удостовериться, что сотрудникам группы поддержки разрешается присоединять компьютеры к домену, но разрешения, связанные с удалением объектов, здесь отсутствуют, а затем перейти к диалогу изменения разрешений посредством нажатия на кнопку «Добавить».
В отобразившемся диалоговом окне «Элемент разрешения для Computers» необходимо добавить группу, которой будут применяться разрешения. Другими словами, нажмите на ссылку «Выберите субъект» и при помощи соответствующего диалогового окна локализуйте группу «Поддержка». Так как внутри созданного ранее подразделения могут находиться дочерние подразделения с различной разбивкой (например, компьютеров по отделам), из раскрывающегося списка «Применяется к» следует выбрать опцию «Этот объект и все дочерние объекты», что и установлено по умолчанию.
Осталось только выбрать требуемое разрешение. Так как нам нужно разрешить перемещать компьютеры, а это означает, что объекты будут создаваться внутри данного и всех вложенных контейнеров, следует установить флажок напротив разрешения «Создание объектов: Компьютер», после чего сохранить все внесенные изменения. Диалоговое окно «Элемент разрешения для «Клиенты»» показано ниже:
Рис. 16. Добавление разрешений для создания объектов компьютеров
Делегирование добавления в домен polygon.local через групповые политики Active Directory.
У нас есть контейнер IT, к примеру нам необходимо поместить в него компьютеры Администраторов сети, сделать это можно, как:
Создадим групповую политику на контейнер IT :
Запускаем “Start” – “Control Panel” – “Administrative Tools” – “Group Policy Management” и после на контейнер IT создадим групповую политику:
Политику нужно привязать к контейнеру и применить на группу AddDomain :
Теперь открываем созданную политику «GPO_AddDomain” и прописываем права для группы AddDomain которая будет ответственная за заведение в домен в указанных контейнер:
Переходим “Computer Configuration” – “Policies” — “Windows Settings” – “Security Settings” – “Local Policies” – “User Rights Assignment” – “Add workstations to domain” и изменяем на
AddDomain (см. скрин ниже):
Предоставляем права на контейнер IT :
Открываем остастку Active Directory Users and Computer:
“Start” – “Control Panel” – “Administrative Tools” – запускаем «Active Directory Users and Computer”, далее включаем расширенное видение, меню View – Advanced Features. После открывает меню Properties (Свойства) контейнера IT:
, далее вкладка Security — Advanced
, для Authenticated Users отмечаем галочками разрешения на:
Create Computer objects
Delete Computer objects
и применять на “This object and all descendant objects”. (см. скриншот выше для наглядного понимания).
Теперь для ввода компьютеров в контейнер IT в зависимости от операционной системы используем следующие скрипты :
Оформляем bat-файл следующего содержания:
@set /p a=login:
@netdom join /d:polygon.local %COMPUTERNAME% /OU:OU=IT,DC=polygon,DC=local /ud:polygon.local\%a% /pd:*
Pause
Предположим netdom.exe уже есть в системе:
Учетная запись useradd с паролем Aa1234567 нужно ввести рабочую станцию в контейнер IT.
login:useradd
Type the password associated with the domain user:
The command completed successfully.
Для продолжения нажмите любую клавишу . . .
Для справки: утилита netdom не входит в официальную поставку Windows XP.
Для Windows Windows 7 используем PowerShell:
Запускаем консоль PowerShell с правами администратора и вводим следующую строку.
add-computer -domainname polygon.local -credential polygon.local\<login name> -oupath «ou=IT,dc=polygon,dc=local»
где, login — имя сотрудника который делегирован правами на заведение рабочих станций в домен Active Directory .
PS C:\Users\keiz> add-computer -domainname polygon.local -credential polygon.local\useradd -oupath «ou=IT,dc=polygon,dc=local»
ПРЕДУПРЕЖДЕНИЕ: Изменения вступят в силу после перезагрузки компьютера W7X64.
Вот собственно и всё, надеюсь данные разъяснения помогут системным администраторам на пути разграничения прав по работе с доменом. Удачи.
От ekzorchik
Всем хорошего дня, меня зовут Александр. Я под ником — ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог — это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору.
Делегирование прав на добавление компьютеров в домен ALD Pro
Для предоставления права ввода компьютера в домен необходимо:
4. Сохранить настройки и перейти во вкладку Субъекты делегирования
5. Выбрать пользователей или группы пользователей, которым необходимо предоставить право ввода компьютеров в домен
6. Сохранить настройки
В ALD Pro 1.2.0 осуществлена модификация ролевой модели, добавлены роли: Системный администратор, Администратор информационной безопасности, Главный администратор (admin). Для предоставления пользователю права ввода компьютеров в домен ALD Pro достаточно назначить пользователю роль "ALDPRO — IT Security Specialist".
Описание ролей в системе содержится во внутренней справке ALD Pro: Справочный центр — Управление доменом — Роли и права доступа — Роли в системе.