Implementar privilégios delegados

Você estuda o relatório produzido para a Contoso por uma empresa de especialistas em segurança de TI. Você percebe que as contas de usuário que são membros de grupos de alto privilégio, como Administradores de Empresa e Administradores de Domínio, têm acesso total a todos os sistemas e dados. Você reconhece que essas contas devem ser guardadas de perto.

No entanto, há usuários que exigem certos direitos de administrador para desempenhar suas funções. Por exemplo, a equipe de suporte técnico deve ser capaz de redefinir senhas e desbloquear contas para usuários comuns, enquanto alguns funcionários de TI serão responsáveis por instalar aplicativos em clientes ou servidores ou executar backups.

Embora o Ative Directory e os servidores membros tenham grupos internos com privilégios pré-determinados atribuídos, como Operadores de Backup e Operadores de Conta, eles podem não atender às suas necessidades. Agora você precisa determinar a melhor forma de fornecer esse acesso administrativo limitado.

Usar o Assistente de Delegação de Controle

O privilégio delegado fornece uma maneira de conceder autoridade limitada a usuários ou grupos especificados. Você pode delegar privilégios mais granulares a usuários ou grupos usando o Assistente de Delegação de Controle. O assistente permite atribuir permissões no nível do site, domínio ou unidade organizacional. O assistente tem as seguintes tarefas predefinidas que você pode atribuir:

• Crie, exclua e gerencie contas de usuário.
• Redefina as senhas de usuário e force a alteração de senha no próximo login.
• Leia todas as informações do usuário.
• Crie, exclua e gerencie grupos.
• Modificar a associação de um grupo.
• Associar um computador ao domínio (disponível apenas ao nível do domínio).
• Gerenciar links de Diretiva de Grupo.
• Gerar o conjunto de políticas resultante (planejamento).
• Gere o Conjunto de Políticas Resultante (Logging).
• Crie, exclua e gerencie contas inetOrgPerson.
• Redefina as senhas do inetOrgPerson e force a alteração da senha no próximo login.
• Leia todas as informações do inetOrgPerson.

Você também pode combinar permissões para criar e atribuir tarefas personalizadas.

Para iniciar o Assistente de Delegação de Controlo, abra Utilizadores e Computadores do Ative Directory e localize a unidade organizacional (UO) à qual pretende delegar controlo.

Em seguida, use o seguinte procedimento:

1. Clique com o botão direito do rato ou ative o menu de contexto para UO e selecione Delegar Controlo e, em seguida, selecione Seguinte.

2. No Assistente de Delegação de Controlo, selecione o utilizador ou grupo ao qual pretende delegar o controlo e, em seguida, selecione Seguinte.

   Gorjeta

   Você deve evitar atribuir direitos a usuários específicos. Em vez disso, você deve usar grupos, mesmo que o grupo contenha apenas um usuário. Isso facilita a administração contínua.

3. Na página Tarefas a Delegar, selecione a partir de uma lista de tarefas comuns ou selecione uma tarefa personalizada para delegar. Por exemplo, para delegar a capacidade de gerenciar contas de usuário, selecione o seguinte:

   • Crie, exclua e gerencie contas de usuário.
   • Redefina as senhas de usuário e force alterações de senha no próximo logon.
   • Leia todas as informações do usuário.

4. Selecione Concluir.

Para rever tarefas delegadas configuradas anteriormente:

1. Em Usuários e Computadores do Ative Directory, no menu, selecione Exibir e, em seguida, selecione Recursos Avançados.
2. Localize a UO delegada. Clique com o botão direito do mouse ou ative o menu de contexto e selecione Propriedades.
3. Na caixa de diálogo Propriedades do nome da UO, selecione a guia Segurança e, em seguida, selecione Avançado.
4. Localize a entidade de segurança à qual delegou o controlo e reveja as permissões. Você também pode alterar as permissões delegadas aqui.

Demonstração

O vídeo a seguir demonstra como usar o Assistente de Delegação de Controle para implementar privilégios delegados. As principais etapas do processo são:

1. Abra Utilizadores e Computadores do Active Directory.
2. Crie um novo grupo chamado Gerentes de vendas na UO Gerentes .
3. Adicione um usuário ao grupo Gerentes de vendas .
4. Execute o Assistente de Delegação de Controle, visando a UO de Vendas.
5. Atribua ao grupo Gerentes de vendas a permissão Redefinir senhas de usuário e forçar a alteração de senha na próxima permissão de logon na UO de vendas.
6. Entre como membro do grupo Gerentes de vendas e verifique se o usuário pode redefinir uma senha para usuários na UO de vendas, mas não na UO de pesquisa.