gedelegeerde machtigingen voor Active Directory (bekijken / verwijderen))

Geschreven door op in Articles

om deze sectie volledig te ontgrendelen, moet u inloggen

Active Directory (AD) delegatie is cruciaal onderdeel van de IT-infrastructuur van veel organisaties. Door beheer te delegeren, kunt u gebruikers of groepen alleen de machtigingen verlenen die ze nodig hebben zonder gebruikers toe te voegen aan bevoorrechte groepen (bijvoorbeeld Domeinadministrators, Accountoperators). De eenvoudigste manier om delegatie te bereiken is met behulp van de wizard delegeren van beheer in de MMC-module (Microsoft Management Console) Active Directory-gebruikers en Computers.

hoewel de wizard delegeren van beheer een eenvoudige manier biedt om machtigingen te delegeren, is er geen overeenkomstige wizard voor het verwijderen van gedelegeerde machtigingen. Iemand bij Microsoft moet deze tekortkoming hebben opgemerkt en creëerde een command-line programma genaamd Dsrevoke.exe waarmee de machtigingsitems kunnen worden verwijderd die zijn toegevoegd door de wizard delegeren van controle.

echter, de Dsrevoke.exe-programma heeft twee belangrijke technische beperkingen, die zijn gedocumenteerd in het Microsoft-artikel “Wanneer u het opdrachtregelprogramma Dsrevoke gebruikt om machtigingen voor alle organisatie-eenheden in een op Windows Server 2003 gebaseerd domein te rapporteren, retourneert de tool mogelijk niet alle toegangsbeheer-items.”Deze beperkingen zijn:

  • Dsrevoke.exe kan slechts tot 1.000 ou ‘ s in één zoekopdracht vinden. De voorgestelde oplossing voor deze beperking is om het zoeken van het programma te starten in een dieper geneste organisatie-eenheid (OU) om het aantal resultaten te verminderen.
  • Dsrevoke.exe mislukt als een organisatie-eenheid een forward slash ( / ) – teken in hun naam bevat. Er is geen oplossing voor deze beperking anders dan het hernoemen van de gewraakte ou ‘ s.

om organisatorische redenen is het hernoemen van de OU ‘ s om het slash-teken te verwijderen gewoonlijk geen optie. Trouwens, de slash is een geldig karakter in een OU naam, en Dsrevoke.exe moet werken, ongeacht of een organisatie-eenheid een schuine streep in zijn naam bevat of niet. Ook was werken rond de 1000 OU limiet in mijn omgeving tijdrovend.

beginnend in recente versies van Windows, de Dsacls.het exe-programma biedt een manier om de machtigingen te verwijderen die zijn toegevoegd door de wizard delegeren van controle. Hoewel het niet faalt als een OU een slash bevat in zijn naam, Dsacls.exe kan geen subcontainers zoeken naar permissies zoals Dsrevoke.exe wel.

Dsrevoke.exe en Dsacls.exe kan een lijst met permissies produceren, maar de uitvoer is erg lang en technisch.

we moeten wat achtergrondinformatie hebben over wat er gebeurt als we de delegeren van controle Wizard gebruiken en ook een aantal basis Windows beveiligingsconcepten behandelen.

Waarom Delegeren?

stel je voor dat je het hoofd bent van een groot bedrijf met verschillende afdelingen: financiën, HR, sales, hoger management.

als elke gebruiker die zijn wachtwoord is vergeten, de IT-helpdesk moest bellen, zou u overspoeld worden met oproepen.

in plaats daarvan kunt u machtigingen delegeren aan het hoofd van elke afdeling, zodat hij of zij de wachtwoorden van zijn of haar eigen team kan resetten.

een ander klassiek geval voor delegeren is de mogelijkheid voor medewerkers om e-mails als elkaar te verzenden, ofwel een gedeelde mailbox, of een PA die e-mail verstuurt namens zijn of haar baas.

geef iedereen domein Admin?

je zou kunnen hebben gedacht, laten we geven elk afdelingshoofd domein Admin rechten, dan kunnen ze de wachtwoorden resetten indien nodig.

hoewel dit technisch waar is, zouden ze dan in staat zijn om alles te doen wat je kunt doen, inclusief toegang tot gebruikersgegevens.

dus, wees voorzichtig om domeinbeheerder rol te geven aan niet-IT-gebruikers om lagere beheer taken: deze aanpak kan leiden tot verschillende problemen.

om de informatie te begrijpen die wordt verstrekt in het dialoogvenster Geavanceerde beveiligingsinstellingen, moet u de volgende beveiligingsconcepten van Windows kennen: access control list (ACL), access control entry (ACE), trustee en overerving. U moet deze concepten ook begrijpen om Remove-DSACE.ps1.

ACL te gebruiken: Er zijn twee soorten ACL ‘s: discretionaire ACL’ s (DACL ‘s) en systeemacl’ s (SACL ‘ s). Een DACL identificeert de accounts die toegang tot een object zijn toegestaan of geweigerd. Een SACL beschrijft hoe een beheerder pogingen om toegang te krijgen tot een object (bijvoorbeeld auditing) wil loggen.

ACE: een ACL bestaat uit Azen. Elke ACE identificeert een trustee en geeft de toegang van de trustee (toestaan, weigeren, of audit) voor het object. De wizard delegeren van beheer voegt Azen toe aan de DACL van een ADVERTENTIECONTAINER. De vorige figuur toont de DACL voor de alle gebruikers OU. In deze figuur is de term permission entry synoniem met ACE.

Trustee: een trustee is de entiteit (een gebruiker, een beveiligingsgroep of een aanmeldingssessie) waarop een ACE van toepassing is. Elke aas is van toepassing op een enkele trustee. In Figuur 5 is de term Principal synoniem met trustee. Figuur 5 laat zien dat er twee azen zijn toegewezen aan de Wachtwoordresetgroep. Met andere woorden, de Password Reset group is de trustee (principal) voor deze twee azen.

vererving: Een ACE kan direct op een object worden toegepast, of het kan worden overgenomen van het bovenliggende object van de bron. In de vorige figuur, de twee azen voor de alle gebruikers OU die de wachtwoord Reset groep bevatten als een trustee zijn niet overgenomen van de ouder container (dat wil zeggen, de overgenomen van kolom leest geen) omdat de delegatie van controle Wizard ze direct toegevoegd aan de DACL.

gedelegeerde machtigingen toevoegen met de Wizard

de wizard delegeren van beheer biedt een eenvoudige manier om machtigingen te delegeren. Stel dat u bijvoorbeeld wilt dat leden van de Wachtwoordherstelgroep wachtwoorden kunnen resetten voor gebruikers in de organisatie-eenheid alle gebruikers in uw ADVERTENTIEDOMEIN. Om dit te doen, moet u de volgende stappen uitvoeren:

Open de Active Directory-console gebruikers en Computers en klik met de rechtermuisknop op de OU alle gebruikers (of wat dan ook) en kies Beheer delegeren, zoals weergegeven in Figuur 1. Klik op de knop Volgende om verder te gaan langs de welkomstpagina van de wizard.

gedelegeerde machtigingen voor Active Directory (bekijken/verwijderen))

klik op de pagina Gebruikers of groepen van de wizard op de knop Toevoegen.

In de Select-Gebruikers, Computers of Groepen in het dialoogvenster, voer de naam van de groep (Wachtwoord te Resetten), klikt u op de knop Namen Controleren om ervoor te zorgen dat de naam correct is, klik op OK, zoals weergegeven in de volgende figuur:

Active Directory Overgedragen Machtigingen (Bekijken/Verwijderen)

Na het maken van ervoor dat de naam van de groep is genoteerd aan de Gebruikers of Groepen pagina, klik op Volgende, zoals weergegeven in de volgende figuur:

gedelegeerde machtigingen voor Active Directory (bekijken/verwijderen))

Selecteer op de pagina Taken delegeren gebruikerswachtwoorden opnieuw instellen en wachtwoordwijziging forceren bij volgende aanmelding en klik op Volgende, zoals weergegeven in de volgende figuur:

gedelegeerde machtigingen voor Active Directory (bekijken/verwijderen))

wanneer u op de knop Voltooien klikt, voegt de wizard delegeren van beheer de gevraagde machtigingen toe aan de organisatie-eenheid alle gebruikers. U kunt de effecten van de delegatie bekijken door met de rechtermuisknop op de organisatie-eenheid alle gebruikers te klikken, Eigenschappen te kiezen en het tabblad beveiliging te selecteren. (Als het tabblad Beveiliging niet zichtbaar is, schakelt u de optie Geavanceerde functies in het menu Beeld van de Active Directory-gebruikers en Computers-console in.)

voor een gedetailleerde weergave kunt u op de knop Geavanceerd klikken. De volgende afbeelding toont het dialoogvenster Geavanceerde beveiligingsinstellingen dat wordt weergegeven.

gedelegeerde machtigingen voor Active Directory (bekijken/verwijderen))

Controleer Permission (met behulp van PowerShell)

nu we delegatie hebben ontdekt, vraagt u zich misschien af of er delegaties zijn waarvan u niets weet, van vroegere werknemers of kwaadaardige beheerders.

we hebben een kort PowerShell-script samengesteld dat elk delegeerbaar objecttype zal doorzoeken en de twee gemeenschappelijke machtigingsdelegaties zal weergeven, het wachtwoord opnieuw instellen en verzenden-as (van Exchange).

hier is een voorbeeld van een domein:

gedelegeerde machtigingen voor Active Directory (bekijken/verwijderen))

en hier de scriptcode:

###### Search common delegation targets$filter = "(|(objectClass=domain)(objectClass=organizationalUnit)(objectClass=group)(sAMAccountType=805306368)(objectCategory=Computer))" ###### Search just OUs and Groups#$filter = "(|(objectClass=organizationalUnit)(objectClass=group))"###### More filters can be found here: http://www.ldapexplorer.com/en/manual/109050000-famous-filters.htm###### Connect to DOMAINCONTROLLER using LDAP path, with USERNAME and PASSWORD#$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP"), "USERNAME", "PASSWORD") ###### Connect to DOMAINCONTROLLER using LDAP path$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP") $dSearch = New-Object System.DirectoryServices.DirectorySearcher($bSearch)$dSearch.SearchRoot = $bSearch$dSearch.PageSize = 1000$dSearch.Filter = $filter #comment out to look at all object types$dSearch.SearchScope = "Subtree"####### List of extended permissions available here: https://technet.microsoft.com/en-us/library/ff405676.aspx$extPerms = '00299570-246d-11d0-a768-00aa006e0529', 'ab721a54-1e2f-11d0-9819-00aa0040529b', '0'$results = @()foreach ($objResult in $dSearch.FindAll()){ $obj = $objResult.GetDirectoryEntry() Write-Host "Searching... " $obj.distinguishedName $permissions = $obj.PsBase.ObjectSecurity.GetAccessRules($true,$false,) $results += $permissions | Where-Object { $_.AccessControlType -eq 'Allow' -and ($_.ObjectType -in $extPerms) -and $_.IdentityReference -notin ('NT AUTHORITY\SELF', 'NT AUTHORITY\SYSTEM', 'S-1-5-32-548') } | Select-Object ` @{n='Object'; e={$obj.distinguishedName}}, @{n='Account'; e={$_.IdentityReference}}, @{n='Permission'; e={$_.ActiveDirectoryRights}}}$results | Out-GridView

dit script op uw eigen domein gebruiken:

  • Open Active Directory-gebruikers en Computers en navigeer naar het domein (of de organisatie-eenheid) dat u onderzoekt.
  • klik er met de rechtermuisknop op en kies Eigenschappen.
  • zoek op het tabblad Attribuutbewerker naar de eigenschap distinguishedName.
  • Selecteer het en druk op beeld, kopieer het LDAP-pad. Dit heb je later nodig.
  • regel 6 bewerken ($bSearch=…), vervangen DOMAINCONTROLLER met de naam van een van uw domein DCs.
  • Bewerk regel 6, LDAP vervangen door het pad dat u eerder hebt gekopieerd.
  • sla het script op en druk op Uitvoeren.
  • laat het script door uw Active Directory zoeken; de voortgang wordt gerapporteerd in de console en wanneer het is voltooid, ontvangt u een pop-up met details over objecten die rechten hebben gedelegeerd aan hen.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.