Chcete-li tuto sekci zcela odemknout, musíte se přihlásit
delegace Active Directory (AD) je kritickou součástí IT infrastruktury mnoha organizací. Delegováním správy můžete udělit uživatelům nebo skupinám pouze potřebná oprávnění, aniž byste přidávali uživatele do privilegovaných skupin (např. Správci domén, provozovatelé účtů). Nejjednodušší způsob, jak dosáhnout delegování, je pomocí Průvodce delegováním řízení v modulu snap-in uživatelé a počítače služby Microsoft Management Console (MMC) Active Directory.
přestože průvodce delegováním řízení poskytuje snadný způsob delegování oprávnění, neexistuje žádný odpovídající průvodce pro odstranění delegovaných oprávnění. Někdo v Microsoftu si musel všimnout tohoto nedostatku a vytvořil program příkazového řádku s názvem Dsrevoke.exe, který může odstranit položky oprávnění přidané delegováním průvodce řízením.
nicméně, Dsrevoke.exe program má dvě důležité technické omezení, které jsou zdokumentovány v článku společnosti Microsoft “ při použití nástroje Dsrevoke příkazového řádku hlásit oprávnění pro všechny organizační jednotky v doméně se systémem Windows Server 2003, nástroj nemusí vrátit všechny položky řízení přístupu.“Tato omezení jsou:
- Dsrevoke.exe může najít pouze až 1000 ou V jednom vyhledávání. Navrhovaným řešením tohoto omezení je spuštění vyhledávání programu v hlouběji vnořené organizační jednotce (OU), aby se snížil počet výsledků.
- Dsrevoke.exe selže, pokud některá ou obsahují ve svých jménech znak lomítka ( / ). Neexistuje žádné řešení pro toto omezení kromě přejmenování problematických ou.
z organizačních důvodů není přejmenování ou pro odstranění znaku lomítka obvykle možností. Kromě toho, lomítko je platný znak v názvu OU, a Dsrevoke.exe by měl fungovat bez ohledu na to, zda OU obsahuje lomítko ve svém názvu nebo ne. Také práce kolem limitu 1000 OU v mém prostředí byla časově náročná.
počínaje posledními verzemi systému Windows, Dsacls.program exe poskytuje způsob, jak odstranit oprávnění přidaná delegováním průvodce ovládáním. Ačkoli to nezklame, pokud OU obsahuje lomítko ve svém názvu, Dsacls.exe nemůže vyhledávat subkontejnery pro oprávnění, jako je Dsrevoke.exe dělá.
Dsrevoke.exe a Dsacls.exe může vytvořit seznam oprávnění, ale výstup je velmi dlouhý a technický.
musíme mít nějaké základní informace o tom, co se stane, když použijeme delegování průvodce řízením, a také pokryjeme některé základní koncepty zabezpečení systému Windows.
Proč Delegovat?
Představte si, že jste vedoucím velké společnosti s několika odděleními: finance, HR, prodej, vyšší management.
pokud by každý uživatel, který zapomněl heslo, musel zavolat na helpdesk IT, byli byste zaplaveni hovory.
místo toho můžete delegovat oprávnění na vedoucího každého oddělení, aby mohl resetovat hesla svého vlastního týmu.
dalším klasickým případem použití delegace je schopnost zaměstnanců posílat e-maily jako každý jiný, buď sdílená poštovní schránka, nebo pa odesílající e-mail jménem svého šéfa.
dát každému doménu Admin?
možná jste si mysleli, dejme každému oddělení oprávnění správce domény hlavy, pak mohou resetovat hesla v případě potřeby.
i když je to technicky pravda, pak by byli schopni dělat vše, co můžete udělat, včetně přístupu k uživatelským datům.
takže buďte opatrní, abyste přidělili roli správce domény uživatelům, kteří nejsou IT, nižší úkoly správy: tento přístup může vést k několika problémům.
Chcete-li porozumět informacím poskytovaným v dialogovém okně Pokročilé nastavení zabezpečení, musíte vědět o následujících konceptech zabezpečení systému Windows: seznam řízení přístupu (ACL), vstup řízení přístupu (ACE), správce a dědičnost. Musíte také pochopit tyto pojmy použít Remove-DSACE. ps1.
ACL: existují dva druhy ACL: diskreční ACL (DACLs) a systémové ACL (SACLs). DACL identifikuje účty, kterým je povolen nebo odepřen přístup k objektu. SACL popisuje, jak chce správce protokolovat pokusy o přístup k objektu (tj.
ACE: ACL se skládá z ES. Každé eso identifikuje správce a určuje přístup správce (povolit, zakázat nebo audit) k objektu. Průvodce delegováním řízení přidává esa do DACL reklamního kontejneru. Předchozí obrázek ukazuje DACL pro všechny uživatele OU. Na tomto obrázku je termín vstup povolení synonymem ACE.
správce: správce je entita (uživatel, skupina zabezpečení nebo přihlašovací relace), na kterou se vztahuje ACE. Každé eso se vztahuje na jednoho správce. Na obrázku 5, termín hlavní je synonymem pro správce. Obrázek 5 ukazuje, že do skupiny pro obnovení hesla jsou přiřazena dvě esa. Jinými slovy, skupina pro resetování hesla je správcem (hlavním) těchto dvou es.
dědičnost: ACE lze použít přímo na objekt nebo jej lze zdědit z nadřazeného objektu zdroje. Na předchozím obrázku, dvě esa pro všechny uživatele OU, které obsahují skupinu pro resetování hesla jako správce, nejsou zděděny z nadřazeného kontejneru (tj. sloupec zděděno z přečte Žádné), protože průvodce delegováním řízení je přidal přímo do DACL.
přidání delegovaných oprávnění pomocí Průvodce
delegování průvodce řízením poskytuje snadný způsob delegování oprávnění. Předpokládejme například, že chcete, aby členové skupiny pro resetování hesla mohli resetovat hesla pro uživatele v OU všichni uživatelé ve vaší reklamní doméně. Chcete-li to provést, musíte provést tyto kroky:
otevřete konzolu uživatelé služby Active Directory a počítače a potom klepněte pravým tlačítkem myši na OU všichni uživatelé (nebo cokoli OU) a vyberte delegovat řízení, jak je znázorněno na obrázku 1. Kliknutím na tlačítko Další postupujete kolem uvítací stránky průvodce.
na stránce uživatelé nebo skupiny průvodce klikněte na tlačítko Přidat.
v dialogovém okně Vybrat uživatele, počítače nebo skupiny zadejte název skupiny (Reset hesla), klikněte na tlačítko Zkontrolovat Názvy, abyste se ujistili, že je název skupiny správný, a klikněte na OK, jak je znázorněno na následujícím obrázku:
poté, co se ujistíte, že název skupiny je uveden na stránce uživatelé nebo skupiny, klepněte na tlačítko Další, jak je znázorněno na následujícím obrázku:
na stránce úkoly delegovat vyberte možnost obnovit uživatelská hesla a vynutit změnu hesla při příštím přihlášení a klikněte na tlačítko Další, jak je znázorněno na následujícím obrázku:
když kliknete na tlačítko Dokončit, průvodce delegováním řízení přidá požadovaná oprávnění do OU pro všechny uživatele. Účinky delegování můžete zobrazit kliknutím pravým tlačítkem myši na OU všichni uživatelé, výběrem vlastností a výběrem karty zabezpečení. (Pokud karta Zabezpečení není viditelná, povolte možnost Pokročilé funkce v nabídce Zobrazit v konzole uživatelé služby Active Directory a počítače.)
pro detailní zobrazení můžete kliknout na tlačítko Upřesnit. Následující obrázek ukazuje dialogové okno Pokročilé nastavení zabezpečení, které se zobrazí.
Zkontrolujte oprávnění (pomocí PowerShell)
Nyní, když jsme objevili delegaci, možná vás zajímá, zda existují nějaké delegace, o kterých nevíte, ať už od minulých zaměstnanců nebo škodlivých správců.
sestavili jsme krátký skript PowerShell, který prohledá každý typ delegovatelného objektu a vypíše dvě společné delegace oprávnění, resetuje heslo a odešle-as (z Exchange).
zde je ukázkový běh z domény:
a tady kód skriptu:
###### Search common delegation targets$filter = "(|(objectClass=domain)(objectClass=organizationalUnit)(objectClass=group)(sAMAccountType=805306368)(objectCategory=Computer))" ###### Search just OUs and Groups#$filter = "(|(objectClass=organizationalUnit)(objectClass=group))"###### More filters can be found here: http://www.ldapexplorer.com/en/manual/109050000-famous-filters.htm###### Connect to DOMAINCONTROLLER using LDAP path, with USERNAME and PASSWORD#$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP"), "USERNAME", "PASSWORD") ###### Connect to DOMAINCONTROLLER using LDAP path$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP") $dSearch = New-Object System.DirectoryServices.DirectorySearcher($bSearch)$dSearch.SearchRoot = $bSearch$dSearch.PageSize = 1000$dSearch.Filter = $filter #comment out to look at all object types$dSearch.SearchScope = "Subtree"####### List of extended permissions available here: https://technet.microsoft.com/en-us/library/ff405676.aspx$extPerms = '00299570-246d-11d0-a768-00aa006e0529', 'ab721a54-1e2f-11d0-9819-00aa0040529b', '0'$results = @()foreach ($objResult in $dSearch.FindAll()){ $obj = $objResult.GetDirectoryEntry() Write-Host "Searching... " $obj.distinguishedName $permissions = $obj.PsBase.ObjectSecurity.GetAccessRules($true,$false,) $results += $permissions | Where-Object { $_.AccessControlType -eq 'Allow' -and ($_.ObjectType -in $extPerms) -and $_.IdentityReference -notin ('NT AUTHORITY\SELF', 'NT AUTHORITY\SYSTEM', 'S-1-5-32-548') } | Select-Object ` @{n='Object'; e={$obj.distinguishedName}}, @{n='Account'; e={$_.IdentityReference}}, @{n='Permission'; e={$_.ActiveDirectoryRights}}}$results | Out-GridView
použití tohoto skriptu na vlastní doméně:
- otevřete uživatele a počítače služby Active Directory a přejděte do domény (nebo organizační jednotky), kterou vyšetřujete.
- klikněte pravým tlačítkem myši a zvolte Vlastnosti.
- na kartě Editor atributů vyhledejte vlastnost distinguishedName.
- vyberte jej a stiskněte tlačítko Zobrazit a poté zkopírujte cestu LDAP. Budete to potřebovat později.
- upravit řádek 6 ($bSearch = …), nahrazení DOMAINCONTROLLER s názvem jednoho z DCs vaší domény.
- upravte řádek 6 a nahraďte LDAP cestou, kterou jste dříve zkopírovali.
- Uložte skript a stiskněte Spustit.
- nechte skript prohledávat váš Active Directory; pokrok je hlášen v konzole a po dokončení obdržíte vyskakovací okno s podrobnostmi o objektech, které mají oprávnění delegovaná na ně.
