Implementowanie delegowanych uprawnień

10 minut

Badasz raport opracowany dla firmy Contoso przez specjalistów ds. zabezpieczeń IT. Zdajesz sobie sprawę, że konta użytkowników, które są członkami grup z wysokimi uprawnieniami, takimi jak Administratorzy przedsiębiorstwa i Administratorzy domeny, mają pełny dostęp do wszystkich systemów i danych. Zdajemy sobie sprawę, że te konta muszą być ściśle chronione.

Istnieją jednak użytkownicy, którzy wymagają pewnych praw administratora do wykonywania swoich obowiązków. Na przykład pracownicy działu pomocy technicznej muszą mieć możliwość resetowania haseł i odblokowywania kont zwykłych użytkowników, podczas gdy niektórzy pracownicy IT będą odpowiedzialni za instalowanie aplikacji na klientach lub serwerach lub wykonywanie kopii zapasowych.

Mimo że usługi Active Directory i serwery członkowskie mają wbudowane grupy, które mają przypisane wstępnie określone uprawnienia, takie jak Operatorzy kopii zapasowych i Operatorzy kont, mogą one nie odpowiadać Twoim potrzebom. Teraz musisz określić, jak najlepiej zapewnić ten ograniczony dostęp administracyjny.

Korzystanie z Kreatora delegowania kontrolek

Uprawnienia delegowane umożliwiają przyznawanie ograniczonego uprawnień określonym użytkownikom lub grupom. Możesz delegować bardziej szczegółowe uprawnienia do użytkowników lub grup przy użyciu Kreatora delegowania kontrolek. Kreator umożliwia przypisywanie uprawnień na poziomie lokacji, domeny lub jednostki organizacji. Kreator ma następujące wstępnie zdefiniowane zadania, które można przypisać:

Tworzenie, usuwanie kont użytkowników i zarządzanie nimi.
Zresetuj hasła użytkownika i wymuś zmianę hasła podczas następnego logowania.
Odczytaj wszystkie informacje o użytkowniku.
Tworzenie, usuwanie grup i zarządzanie nimi.
Zmodyfikuj członkostwo grupy.
Przyłącz komputer do domeny (dostępny tylko na poziomie domeny).
Zarządzaj łączami zasad grupy.
Generowanie wynikowego zestawu zasad (planowanie).
Generowanie wynikowego zestawu zasad (rejestrowanie).
Tworzenie, usuwanie i zarządzanie kontami inetOrgPerson.
Zresetuj hasła inetOrgPerson i wymuś zmianę hasła podczas następnego logowania.
Odczytaj wszystkie informacje inetOrgPerson.

Możesz również połączyć uprawnienia do tworzenia i przypisywania zadań niestandardowych.

Aby uruchomić Kreatora delegowania kontrolek, otwórz Użytkownicy i komputery usługi Active Directory i znajdź jednostkę organizacyjną, nad którą chcesz delegować kontrolę.

Uwaga

Możesz również delegować kontrolę nad obiektem domeny.

Napiwek

Aby delegować kontrolę nad lokacją, użyj narzędzia Lokacje i usługi Active Directory, aby delegować kontrolę.

Następnie użyj następującej procedury:

Kliknij prawym przyciskiem myszy lub aktywuj menu kontekstowe do jednostki organizacyjnej i wybierz polecenie Deleguj kontrolę, a następnie wybierz przycisk Dalej.
W Kreatorze delegowania kontrolek wybierz użytkownika lub grupę, do której chcesz delegować kontrolę, a następnie wybierz przycisk Dalej.

Napiwek

Należy unikać przypisywania praw do określonych użytkowników. Zamiast tego należy używać grup, nawet jeśli grupa zawiera tylko jednego użytkownika. Ułatwia to ciągłą administrację.
Na stronie Zadania do delegowania wybierz z listy typowych zadań lub wybierz zadanie niestandardowe do delegowania. Aby na przykład delegować możliwość zarządzania kontami użytkowników, wybierz następujące opcje:
- Tworzenie, usuwanie kont użytkowników i zarządzanie nimi.
- Zresetuj hasła użytkownika i wymuś zmiany hasła podczas następnego logowania.
- Odczytaj wszystkie informacje o użytkowniku.
Wybierz Zakończ.

Zrzut ekranu przedstawiający stronę Zadania do delegowania w Kreatorze delegowania kontrolek. Administrator wybrał zadania związane z zarządzaniem użytkownikami.

Ważne

Po przypisaniu delegowanego dostępu nie można przejrzeć ustawień za pomocą Kreatora delegowania kontrolek.

Aby przejrzeć wcześniej skonfigurowane zadania delegowane:

W Użytkownicy i komputery usługi Active Directory w menu wybierz pozycję Widok, a następnie wybierz pozycję Funkcje zaawansowane.
Znajdź deleganą jednostki organizacyjnej. Kliknij prawym przyciskiem myszy lub aktywuj menu kontekstowe i wybierz polecenie Właściwości.
W oknie dialogowym Właściwości nazwy jednostki organizacyjnej wybierz kartę Zabezpieczenia, a następnie wybierz pozycję Zaawansowane.
Znajdź podmiot zabezpieczeń, do którego delegowano kontrolę, i przejrzyj uprawnienia. Możesz również zmienić uprawnienia delegowane tutaj.

Zrzut ekranu przedstawiający okno dialogowe Ustawienia zabezpieczeń zaawansowanych dla IT. Administrator wybrał kartę Uprawnienia. Wyświetlane są uprawnienia do jednostki organizacyjnej IT, w tym delegowane uprawnienia dla contosoAdmin.

Uwaga

Kreator delegowania kontrolek udostępnia prosty, oparty na kreatorze interfejs konfiguracji uprawnień usług AD DS w obiektach usług AD DS.

Pokaz

W poniższym filmie wideo pokazano, jak za pomocą Kreatora delegowania kontroli zaimplementować delegowane uprawnienia. Główne kroki procesu to:

Otwórz narzędzie Użytkownicy i komputery usługi Active Directory.
Utwórz nową grupę o nazwie Menedżerowie sprzedaży w jednostki organizacyjnej Menedżerowie.
Dodaj użytkownika do grupy Menedżerowie sprzedaży .
Uruchom Kreatora delegowania kontrolek dla jednostki organizacyjnej Sprzedaż.
Przypisz menedżerom sprzedaży grupę Resetuj hasła użytkownika i wymuś zmianę hasła przy następnym logowaniu w jednostkach organizacyjnych sprzedaży.
Zaloguj się jako członek grupy Menedżerowie sprzedaży i sprawdź, czy użytkownik może zresetować hasło dla użytkowników w jednostkach organizacyjnych sprzedaży , ale nie w jednostki organizacyjnej badań .

Sprzężenie zwrotne

Czy ta strona była pomocna?

Implementowanie delegowanych uprawnień

Krótki przegląd

Sprzężenie zwrotne