For å fullstendig låse opp denne delen må Du Logge inn
Active Directory (AD) delegering er kritisk del av MANGE organisasjoners IT-infrastruktur. Ved å delegere administrasjon kan du bare gi brukere eller grupper de tillatelsene de trenger uten å legge til brukere i privilegerte grupper (F.eks. Domeneadministratorer, Kontooperatører). Den enkleste måten å utføre delegering på er Å bruke Veiviseren For Delegering Av Kontroll i snapin-modulen Microsoft Management Console (MMC) Active Directory-Brukere og-Datamaskiner.
Selv Om Veiviseren For Delegering Av Kontroll gir en enkel måte å delegere tillatelser på, finnes det ingen tilsvarende veiviser for å fjerne delegerte tillatelser. Noen På Microsoft må ha lagt merke til denne mangelen og opprettet et kommandolinjeprogram kalt Dsrevoke.exe som kan fjerne tillatelsesoppføringene lagt til Av Delegering Av Kontrollveiviseren.
imidlertid Dsrevoke.exe-programmet har to viktige tekniske begrensninger, som er dokumentert i Microsoft-artikkelen » når Du bruker kommandolinjeverktøyet dsrevoke til å rapportere tillatelser for alle organisatoriske enheter i Et Windows Server 2003-basert domene, kan verktøyet ikke returnere alle tilgangskontrolloppføringene.»Disse begrensningene er:
- Dsrevoke.exe kan finne bare opp til 1000 OUs i et enkelt søk. Den foreslåtte løsningen for denne begrensningen er å starte programmets søk i en dypere nestet organisasjonsenhet (ou) for å redusere antall resultater.
- Dsrevoke.exe mislykkes hvis Noen OUs inneholder et skråstrek ( / ) tegn i navnene sine. Det er ingen løsning for denne begrensningen annet enn å omdøpe den fornærmende OUs.
av organisatoriske årsaker er det vanligvis ikke et alternativ å gi Nytt Navn Til Ou-Ene for å fjerne skråstrek-tegnet. Dessuten er skråstreken et gyldig tegn i ET ou-navn, og Dsrevoke.exe skal fungere uansett om EN OU inneholder en skråstrek i navnet eller ikke. Også arbeidet rundt 1000 ou-grensen i mitt miljø var tidkrevende.
Starter i nyere versjoner Av Windows, Dsacls.exe-programmet gir en måte å fjerne tillatelsene lagt Til Av Delegering Av Kontrollveiviseren. Selv om det ikke mislykkes hvis EN OU inneholder en skråstrek i navnet, Dsacls.exe kan ikke søke underbeholdere for tillatelser som Dsrevoke.exe gjør.
Dsrevoke.exe og Dsacler.exe kan produsere en liste over tillatelser, men utgangen er veldig lang og teknisk.
Vi må ha litt bakgrunnsinformasjon om hva som skjer når Vi bruker Delegering Av Kontrollveiviseren, samt dekke noen grunnleggende Windows – sikkerhetskonsepter.
Hvorfor Delegere?
Tenk deg at du er leder av et stort selskap med flere avdelinger: økonomi, HR, salg, øverste ledelse.
hvis hver bruker som glemte passordet måtte ringe it helpdesk, ville du bli oversvømt med samtaler.
i Stedet kan du delegere tillatelser til lederen for hver avdeling, slik at han eller hun kan tilbakestille passordet til sitt eget team.
en annen klassisk brukstilfelle for delegering er muligheten for ansatte til å sende e-post som hverandre, enten en delt postkasse eller EN PA sende e-post på vegne av sin sjef.
Gi Alle Domene Admin?
du har kanskje tenkt, la oss gi hver avdelingsleder Domene Admin tillatelser, så kan de tilbakestille passordene når det kreves.
selv om dette er teknisk sant, vil de da kunne gjøre alt du kan gjøre, inkludert tilgang til brukerdata.
så vær forsiktig med Å gi Domeneadministratorrolle til IKKE-IT-brukere for å redusere administrasjonsoppgaver: denne tilnærmingen kan føre til flere problemer.
hvis du vil forstå informasjonen som gis I Dialogboksen Avanserte Sikkerhetsinnstillinger, må du vite om Følgende Sikkerhetskonsepter For Windows: tilgangskontrollliste (ACL), TILGANGSKONTROLLOPPFØRING (ACE), forvalter og arv. Du må også forstå disse konseptene for Å bruke Remove-dsace.ps1.
ACL: DET finnes to Typer Acler: skjønnsmessige Acler (Dacler) og system Acler (Sacler). EN DACL identifiserer kontoene som er tillatt eller nektet tilgang til et objekt. EN SACL beskriver hvordan en administrator ønsker å logge forsøk på å få tilgang til et objekt (dvs.overvåking).
ESS: EN ACL består Av Ess. HVERT ESS identifiserer en forvalter og angir forvalterens tilgang (tillat, avslå eller overvåk) for objektet. Veiviseren For Delegering av Kontroll legger Til Ess i DACL FOR EN ANNONSEBEHOLDER. Den forrige figuren viser DACL For Alle Brukere OU. I denne figuren er begrepet tillatelsesoppføring synonymt MED ACE.
Forvalter: en forvalter er enheten (en bruker, sikkerhetsgruppe eller påloggingsøkt) SOM ET ACE gjelder for. HVERT ESS gjelder for en enkelt forvalter. I figur 5 er Begrepet Rektor synonymt med forvalter. Figur 5 viser at det er to Ess som er tildelt Gruppen For Tilbakestilling Av Passord. Med Andre ord, Passord Reset gruppen er bobestyrer (rektor) for disse to Ess.
Arv: ET ESS kan brukes direkte på et objekt, eller det kan arves fra ressursens overordnede objekt. I forrige figur arves Ikke De To Essene for ALLE Brukere OU som inneholder Gruppen Tilbakestilling av Passord som forvalter fra den overordnede beholderen (Dvs. Kolonnen Arvet Fra Leser Ingen) fordi Veiviseren For Delegering av Kontroll la Dem direkte til DACL.
Legge Til Delegerte Tillatelser med Veiviseren
Veiviseren For Delegering Av Kontroll gir en enkel måte å delegere tillatelser på. Anta for eksempel at du vil at medlemmer Av Gruppen For Tilbakestilling Av Passord skal kunne tilbakestille passord for brukere I ALLE Brukere-OU-En i ANNONSEDOMENET. For å gjøre dette må du utføre disse trinnene:
Åpne Active Directory-Brukere og Datamaskiner-konsollen og høyreklikk Deretter Alle Brukere OU (eller HVA SOM HELST OU) og velg Representantkontroll, som vist i Figur 1. Klikk på neste-knappen for å gå forbi veiviserens velkomstside.
klikk Legg til-knappen På siden Brukere Eller Grupper i veiviseren.
i Dialogboksen Velg Brukere, Datamaskiner Eller Grupper skriver du inn gruppens navn( Tilbakestilling Av Passord), klikker På Kontroller Navn-knappen for å sikre at gruppens navn er riktig, og klikker OK, som vist i følgende figur:
når du har kontrollert at gruppens navn er oppført På Siden Brukere eller Grupper, klikker Du Neste, som vist i figuren nedenfor:
på Oppgaver Å Delegere side, velg Tilbakestill brukerpassord og tvinge passord endring ved neste pålogging og klikk Neste, som vist i følgende figur:
Når du klikker Fullfør, Legger Veiviseren For Delegering Av Kontroll de forespurte tillatelsene Til ALLE Brukere OU. Du kan vise effekten av delegeringen ved å høyreklikke Alle Brukere OU, velge Egenskaper og velge kategorien Sikkerhet. (Hvis Kategorien Sikkerhet ikke er synlig, aktiverer Du Alternativet Avanserte Funksjoner På Vis-menyen I Active Directory-Brukere og Datamaskiner-konsollen.)
for en detaljert visning kan du klikke På Avansert-knappen. Figuren nedenfor viser Dialogboksen Avanserte Sikkerhetsinnstillinger som vises.
Sjekk Tillatelse (Ved Hjelp Av PowerShell)
Nå som vi har oppdaget delegering, lurer du kanskje på om det er noen delegasjoner du ikke vet om, enten fra tidligere ansatte eller ondsinnede administratorer.
Vi har satt sammen et Kort PowerShell-skript som vil søke i hver delegerbar objekttype og liste de to vanlige tillatelsesdelegasjonene, tilbakestill passord og send-as (Fra Exchange).
her er et eksempel fra et domene:
her er skriptkoden:
###### Search common delegation targets$filter = "(|(objectClass=domain)(objectClass=organizationalUnit)(objectClass=group)(sAMAccountType=805306368)(objectCategory=Computer))" ###### Search just OUs and Groups#$filter = "(|(objectClass=organizationalUnit)(objectClass=group))"###### More filters can be found here: http://www.ldapexplorer.com/en/manual/109050000-famous-filters.htm###### Connect to DOMAINCONTROLLER using LDAP path, with USERNAME and PASSWORD#$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP"), "USERNAME", "PASSWORD") ###### Connect to DOMAINCONTROLLER using LDAP path$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP") $dSearch = New-Object System.DirectoryServices.DirectorySearcher($bSearch)$dSearch.SearchRoot = $bSearch$dSearch.PageSize = 1000$dSearch.Filter = $filter #comment out to look at all object types$dSearch.SearchScope = "Subtree"####### List of extended permissions available here: https://technet.microsoft.com/en-us/library/ff405676.aspx$extPerms = '00299570-246d-11d0-a768-00aa006e0529', 'ab721a54-1e2f-11d0-9819-00aa0040529b', '0'$results = @()foreach ($objResult in $dSearch.FindAll()){ $obj = $objResult.GetDirectoryEntry() Write-Host "Searching... " $obj.distinguishedName $permissions = $obj.PsBase.ObjectSecurity.GetAccessRules($true,$false,) $results += $permissions | Where-Object { $_.AccessControlType -eq 'Allow' -and ($_.ObjectType -in $extPerms) -and $_.IdentityReference -notin ('NT AUTHORITY\SELF', 'NT AUTHORITY\SYSTEM', 'S-1-5-32-548') } | Select-Object ` @{n='Object'; e={$obj.distinguishedName}}, @{n='Account'; e={$_.IdentityReference}}, @{n='Permission'; e={$_.ActiveDirectoryRights}}}$results | Out-GridView
for å bruke dette skriptet på ditt eget domene:
- Åpne Active Directory-Brukere og-Datamaskiner og naviger til domenet (Eller Organisasjonsenheten) du undersøker.
- Høyreklikk på Den og velg Egenskaper.
- se etter egenskapen distinguishedName i Kategorien Attributtredigering.
- Velg Den og trykk På View, og kopier DERETTER LDAP-Banen. Du trenger dette senere.
- Rediger linje 6 ($bSearch = …), erstatter DOMAINCONTROLLER med navnet på et av domenets DCs.
- Rediger linje 6, erstatt LDAP med banen du kopierte tidligere.
- Lagre skriptet og trykk på kjør.
- La skriptet søke Gjennom Active Directory; fremgang rapporteres i konsollen, og når den er fullført vil du motta en popup detaljering objekter som har tillatelser delegert til dem.
