tämän osion avaamiseksi kokonaan sinun on kirjauduttava sisään
Active Directory (AD) – delegaatio on kriittinen osa monien organisaatioiden IT-infrastruktuuria. Delegoimalla hallinnon voit myöntää käyttäjille tai ryhmille vain heidän tarvitsemansa käyttöoikeudet lisäämättä käyttäjiä etuoikeutettuihin ryhmiin (esim.toimialueen ylläpitäjät, Tilioperaattorit). Yksinkertaisin tapa suorittaa delegointi on ohjatun ohjauksen delegointi Microsoft Management Console (MMC) Active Directory Users and Computers-laajennuksen avulla.
vaikka ohjatun ohjauksen delegointi tarjoaa helpon tavan delegoida käyttöoikeuksia, vastaavaa ohjattua ohjattua toimintoa ei ole delegoitujen käyttöoikeuksien poistamiseen. Joku Microsoftilla on varmasti huomannut tämän puutteen ja luonut Komentoriviohjelman nimeltä Dsrevoke.exe, joka voi poistaa ohjatun ohjausobjektin delegoinnin lisäämät käyttöoikeusmerkinnät.
kuitenkin Dsrevoke.exe-ohjelmalla on kaksi tärkeää teknistä rajoitusta, jotka on dokumentoitu Microsoftin artikkelissa ”kun käytät Dsrevoke-komentorivityökalua kaikkien Windows Server 2003-pohjaisen toimialueen organisaatioyksiköiden käyttöoikeuksien ilmoittamiseen, työkalu ei välttämättä palauta kaikkia kulunvalvontamerkintöjä.”Nämä rajoitukset ovat:
- Dsrevoke.exe voi löytää vain 1 000 ou: ta yksittäisessä haussa. Ehdotettu kiertää tämän rajoituksen on aloittaa ohjelman haku syvemmin sisäkkäinen organisaatioyksikkö (OU) vähentää tulosten määrää.
- Dsrevoke.exe epäonnistuu, jos minkä tahansa ou: n nimessä on etuviiva ( / ). Ei ole kiertää tämän rajoituksen muuta kuin nimetä rikkonut OUs.
organisaatiosyistä ous: n nimeäminen slash-merkin poistamiseksi ei yleensä ole vaihtoehto. Sitä paitsi, slash on voimassa merkki OU nimi, ja Dsrevoke.exe: n pitäisi toimia riippumatta siitä, sisältääkö OU nimessään viillon vai ei. Lisäksi työskentely 1000 OU: n rajan ympärillä ympäristössäni oli aikaa vievää.
alkaen Windowsin uusimmissa versioissa, Dsacls: ssä.exe ohjelma tarjoaa tavan poistaa käyttöoikeudet lisätään Delegation of Control Wizard. Vaikka se ei epäonnistu, jos OU sisältää slash sen nimessä, Dsacls.exe ei voi etsiä alihankkijoilta käyttöoikeuksia, kuten Dsrevoke.exe tietää.
Dsrevoke.exe ja Dsacl.exe voi tuottaa listaa käyttöoikeuksista, mutta ulostulo on hyvin pitkä ja tekninen.
meillä on oltava taustatietoa siitä, mitä tapahtuu, kun käytämme Ohjausvelhon delegointia, sekä joitakin Windowsin perusturvakonsepteja.
Miksi Delegoida?
kuvittele olevasi suuren yrityksen johtaja, jolla on useita osastoja: talous, HR, myynti, Ylempi johto.
jos jokainen salasanansa unohtanut käyttäjä joutuisi soittamaan IT-HelpDeskiin, sinulle tulvisi puheluita.
sen sijaan voit delegoida käyttöoikeudet kunkin osaston päällikölle, jotta hän voi nollata oman tiiminsä salasanat.
toinen klassinen käyttötapaus delegoinnille on henkilöstön kyky lähettää sähköposteja keskenään, joko jaettu postilaatikko tai PA lähettää sähköpostia esimiehensä puolesta.
anna kaikille Domain Admin?
olisi voinut ajatella, että annetaan jokaiselle osastopäällikölle verkkotunnuksen Ylläpitoluvat, niin he voivat tarvittaessa nollata salasanat.
vaikka tämä on teknisesti totta, he voisivat sitten tehdä mitä tahansa voit tehdä, mukaan lukien käyttäjätiedot.
joten, ole varovainen antaa Domain Admin rooli ei-IT käyttäjille alemman hallinnon tehtäviä: tämä lähestymistapa voi johtaa useisiin kysymyksiin.
ymmärtääksesi lisäasetukset-valintaikkunassa annettavat tiedot sinun on tiedettävä seuraavista Windowsin tietoturvakonsepteista: access control list (ACL), access control entry (ACE), trustee, ja perintö. Sinun on myös ymmärrettävä nämä käsitteet käyttääksesi Remove-DSACE. ps1.
ACL: on olemassa kahdenlaisia ACL: harkinnanvaraisia ACL: iä (dacls) ja system ACLs (SACLs). DACL tunnistaa tilit, joilla on lupa tai evätty pääsy objektiin. SACL kuvaa, miten järjestelmänvalvoja haluaa kirjata yritykset päästä objektiin (eli valvonta).
ässä: eturistiside koostuu Ässistä. Jokainen ässä tunnistaa toimitsijamiehen ja määrittää toimitsijamiehen pääsyn (Salli, Estä tai auditoi) objektille. Ohjausvelhon delegaatio lisää Ässät MAINOSKONTIN DACL: ään. Edellinen kuva osoittaa DACL kaikille käyttäjille OU. Tässä luvussa termi lupamerkintä on synonyymi ACE: lle.
toimitsijamies: toimitsijamies on yhteisö (käyttäjä, tietoturvaryhmä tai kirjautumisistunto), johon ACE: tä sovelletaan. Jokainen ässä koskee yhtä edunvalvojaa. Kuviossa 5 termi pääoma on synonyymi omaisuudenhoitajalle. Kuva 5 osoittaa, että salasanan Palauttamisryhmässä on kaksi ässää. Toisin sanoen, salasanan palautus ryhmä on luottamusmies (rehtori) näiden kahden Ässän.
perintö: Ässä voidaan soveltaa suoraan objektiin, tai se voidaan periä resurssin pääobjektista. Edellisessä kuvassa, kaksi ässää kaikille käyttäjille OU, jotka sisältävät salasanan palautus ryhmä kuin toimitsija ei peritty vanhemman säiliö (eli peritty sarakkeesta lukee Ei mitään), koska delegointi Ohjausvelho lisäsi ne suoraan DACL.
delegoitujen käyttöoikeuksien lisääminen ohjatun toiminnon avulla
ohjatun ohjatun ohjauksen delegointi tarjoaa helpon tavan delegoida käyttöoikeuksia. Oletetaan esimerkiksi, että haluat salasanojen Palautusryhmän jäsenten pystyvän nollaamaan salasanoja kaikille käyttäjille MAINOSALUEELLASI. Tätä varten sinun on suoritettava seuraavat vaiheet:
avaa Active Directory Users and Computers-konsoli ja napsauta sitten hiiren kakkospainikkeella All Users OU (tai mikä tahansa OU) ja valitse delegoi-ohjaus, kuten kuvassa 1 esitetään. Napsauta Seuraava-painiketta edetäksesi ohjatun tervetuliaissivun ohi.
Napsauta ohjatun toiminnon käyttäjät tai ryhmät-sivulla Lisää-painiketta.
Kirjoita Valitse käyttäjät, tietokoneet tai ryhmät-valintaikkunaan ryhmän nimi (salasanan palautus), napsauta Tarkista nimet-painiketta varmistaaksesi, että ryhmän nimi on oikea, ja valitse OK, kuten seuraavasta kuvasta näkyy:
kun olet varmistanut, että ryhmän nimi on lueteltu käyttäjät tai ryhmät-sivulla, valitse seuraava, kuten seuraavassa kuvassa on esitetty:
Valitse tehtävät siirtää-sivulla Nollaa käyttäjän salasanat ja pakota salasanan vaihto seuraavalla kirjautumisella ja valitse seuraava, kuten seuraavassa kuvassa on esitetty:
kun napsautat Valmis-painiketta, ohjatun ohjauksen delegointi lisää pyydetyt käyttöoikeudet kaikille käyttäjille OU. Voit tarkastella delegoinnin vaikutuksia napsauttamalla hiiren kakkospainikkeella kaikki käyttäjät OU-kohtaa, valitsemalla Ominaisuudet ja valitsemalla Suojaus-välilehden. (Jos suojaus-välilehti ei ole näkyvissä, ota käyttöön lisäominaisuudet-asetus Active Directory-käyttäjien ja tietokoneiden konsolin Näytä-valikosta.)
saadaksesi yksityiskohtaisen kuvan, voit napsauttaa Lisäasetukset-painiketta. Seuraavassa kuvassa näkyy kehittyneiden suojausasetusten valintaikkuna.
Tarkista käyttöoikeudet (käyttäen Powershellia)
nyt kun olemme löytäneet delegaation, saatat ihmetellä, onko olemassa delegaatioita, joista et tiedä, joko aiemmilta työntekijöiltä tai haitallisilta ylläpitäjiltä.
olemme koonneet lyhyen PowerShell-komentosarjan, joka etsii jokaisen delegoitavan objektin tyypin ja listaa kaksi yhteistä käyttöoikeusdelegaatiota, Nollaa salasana ja lähetä-as (vaihdosta).
tässä esimerkkiajo verkkotunnuksesta:
ja tässä komentosarjan koodi:
###### Search common delegation targets$filter = "(|(objectClass=domain)(objectClass=organizationalUnit)(objectClass=group)(sAMAccountType=805306368)(objectCategory=Computer))" ###### Search just OUs and Groups#$filter = "(|(objectClass=organizationalUnit)(objectClass=group))"###### More filters can be found here: http://www.ldapexplorer.com/en/manual/109050000-famous-filters.htm###### Connect to DOMAINCONTROLLER using LDAP path, with USERNAME and PASSWORD#$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP"), "USERNAME", "PASSWORD") ###### Connect to DOMAINCONTROLLER using LDAP path$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP") $dSearch = New-Object System.DirectoryServices.DirectorySearcher($bSearch)$dSearch.SearchRoot = $bSearch$dSearch.PageSize = 1000$dSearch.Filter = $filter #comment out to look at all object types$dSearch.SearchScope = "Subtree"####### List of extended permissions available here: https://technet.microsoft.com/en-us/library/ff405676.aspx$extPerms = '00299570-246d-11d0-a768-00aa006e0529', 'ab721a54-1e2f-11d0-9819-00aa0040529b', '0'$results = @()foreach ($objResult in $dSearch.FindAll()){ $obj = $objResult.GetDirectoryEntry() Write-Host "Searching... " $obj.distinguishedName $permissions = $obj.PsBase.ObjectSecurity.GetAccessRules($true,$false,) $results += $permissions | Where-Object { $_.AccessControlType -eq 'Allow' -and ($_.ObjectType -in $extPerms) -and $_.IdentityReference -notin ('NT AUTHORITY\SELF', 'NT AUTHORITY\SYSTEM', 'S-1-5-32-548') } | Select-Object ` @{n='Object'; e={$obj.distinguishedName}}, @{n='Account'; e={$_.IdentityReference}}, @{n='Permission'; e={$_.ActiveDirectoryRights}}}$results | Out-GridView
voit käyttää tätä komentosarjaa omalla verkkotunnuksellasi:
- avaa Active Directoryn käyttäjät ja tietokoneet ja siirry toimialueen (tai organisaatioyksikön) luo, jota tutkit.
- napsauta sitä hiiren kakkospainikkeella ja valitse Ominaisuudet.
- etsi attribuuttieditorista ominaisuus distinguishedName.
- valitse se ja paina Näytä ja kopioi LDAP-polku. Tarvitset tätä myöhemmin.
- Edit line 6 ($bSearch = …), korvaa DOMAINCONTROLLER yhden verkkotunnuksen DCs: n nimellä.
- muokkaa riviä 6, korvaa LDAP aiemmin kopioimallasi polulla.
- Tallenna käsikirjoitus ja paina ajo.
- Anna komentosarjan etsiä Active Directory-hakemistosi kautta; edistyminen ilmoitetaan konsolissa, ja kun se on valmis, saat ponnahdusikkunan, jossa esitetään objektit, joille on delegoitu käyttöoikeudet.
