permisiuni delegate Active Directory (vizualizare / eliminare)

pentru a debloca complet această secțiune trebuie să vă conectați

Active Directory (AD) delegația este o parte critică a infrastructurii IT a multor organizații. Prin delegarea administrației, puteți acorda utilizatorilor sau grupurilor doar permisiunile de care au nevoie fără a adăuga utilizatori la grupuri privilegiate (de exemplu, Administratori de domenii, operatori de cont). Cel mai simplu mod de a realiza delegarea este folosind delegarea expertului de Control în Microsoft Management Console (MMC) Active Directory Users and Computers snap-in.

deși delegarea expertului de Control oferă o modalitate ușoară de a delega permisiunile, nu există un expert corespunzător pentru eliminarea permisiunilor delegate. Cineva de la Microsoft trebuie să fi observat acest neajuns și a creat un program de linie de comandă numit Dsrevoke.exe care poate elimina intrările de permisiune adăugate de delegarea expertului de Control.

cu toate acestea, Dsrevoke.programul exe are două limitări tehnice importante, care sunt documentate în articolul Microsoft ” când utilizați instrumentul de linie de comandă Dsrevoke pentru a raporta permisiunile pentru toate unitățile organizaționale dintr-un domeniu bazat pe Windows Server 2003, este posibil ca instrumentul să nu returneze toate intrările de control al accesului.”Aceste limitări sunt:

  • Dsrevoke.exe poate găsi doar până la 1.000 de unități într-o singură căutare. Soluția sugerată pentru această limitare este de a începe căutarea programului într-o unitate organizațională mai profund imbricată (OU) pentru a reduce numărul de rezultate.
  • Dsrevoke.exe eșuează dacă orice OUs conține un caracter slash (/) înainte în numele lor. Nu există nici o soluție pentru această limitare, altele decât pentru a redenumi OUs ofensatoare.

din motive organizaționale, redenumirea OUs pentru a elimina caracterul slash nu este de obicei o opțiune. În plus, slash este un caracter valid într-un nume OU, și Dsrevoke.exe ar trebui să funcționeze indiferent dacă un OU conține o bară oblică în numele său sau nu. De asemenea, lucrul în jurul limitei de 1.000 de OU în mediul meu a fost consumator de timp.

începând cu versiunile recente de Windows, Dsacls.programul exe oferă o modalitate de a elimina permisiunile adăugate de delegarea expertului de Control. Deși nu eșuează dacă un OU conține o bară oblică în numele său, Dsacls.exe nu poate căuta subcontainere pentru permisiuni precum Dsrevoke.exe face.

Dsrevoke.exe și Dsacls.exe poate produce o listă de permisiuni, dar ieșirea este foarte lungă și tehnică.

trebuie să avem câteva informații de fundal despre ceea ce se întâmplă atunci când folosim delegarea expertului de Control, precum și să acoperim câteva concepte de bază de securitate Windows.

De Ce Delegați?

Imaginați-vă că sunteți șeful unei companii mari cu mai multe departamente: finanțe, resurse umane, vânzări, management superior.

dacă fiecare utilizator care și-a uitat parola ar trebui să apeleze Serviciul de asistență IT, ați fi inundat de apeluri.

în schimb, puteți delega permisiuni șefului fiecărui departament, astfel încât acesta să poată reseta parolele propriei echipe.

un alt caz de utilizare clasic pentru delegare este capacitatea personalului de a trimite e-mailuri ca unul pe altul, fie o cutie poștală partajată, fie un e-mail care trimite PA în numele șefului său.

dă toată lumea Admin domeniu?

s-ar putea fi gândit, să dea fiecare șef de departament permisiuni de Admin domeniu, atunci ei pot reseta parolele atunci când este necesar.

deși acest lucru este adevărat din punct de vedere tehnic, ei ar putea face orice puteți face, inclusiv accesarea datelor Utilizatorului.

deci, aveți grijă să acordați rol de administrator de domeniu utilizatorilor non-IT pentru a reduce sarcinile de administrare: această abordare poate duce la mai multe probleme.

pentru a înțelege informațiile furnizate în caseta de dialog Setări avansate de securitate, trebuie să știți despre următoarele concepte de securitate Windows: lista de control al accesului( ACL), intrarea controlului accesului (ACE), mandatarul și moștenirea. De asemenea, trebuie să înțelegeți aceste concepte pentru a utiliza Remove-DSACE.ps1.

ACL: există două tipuri de ACL-uri: ACL-uri discreționare (dacl) și ACL-uri de sistem (SACL). Un DACL identifică conturile care sunt permise sau refuzate accesul la un obiect. Un SACL descrie modul în care un administrator dorește să înregistreze încercările de a accesa un obiect (adică audit).

as: un ACL este compus din Ași. Fiecare AS identifică un mandatar și specifică accesul mandatarului (permiteți, refuzați sau auditați) pentru obiect. Delegarea expertului de Control adaugă Ași la DACL-ul unui container publicitar. Figura anterioară arată DACL pentru toți utilizatorii OU. În această figură, termenul de intrare a permisiunii este sinonim cu ACE.

Administrator: un administrator este entitatea (un utilizator, un grup de securitate sau o sesiune de conectare) căreia i se aplică un ACE. Fiecare As se aplică unui singur mandatar. În Figura 5, termenul Principal este sinonim cu mandatar. Figura 5 arată că există doi ași alocați grupului de resetare a parolei. Cu alte cuvinte, grupul de resetare a parolei este mandatarul (principalul) pentru acești doi ași.

moștenire: Un As poate fi aplicat direct unui obiect sau poate fi moștenit de la obiectul părinte al resursei. În figura anterioară, cei doi Ași pentru toți utilizatorii OU care conțin grupul de resetare a parolei ca administrator nu sunt moșteniți din containerul părinte (adică, coloana moștenit de la nu citește niciunul) deoarece delegarea expertului de Control le-a adăugat direct la DACL.

adăugarea permisiunilor delegate cu expertul

delegarea expertului de Control oferă o modalitate ușoară de a delega permisiunile. De exemplu, să presupunem că doriți ca membrii grupului de resetare a parolei să poată reseta parolele pentru utilizatorii din All Users OU din domeniul dvs. publicitar. Pentru a face acest lucru, trebuie să efectuați acești pași:

deschideți consola Active Directory Users and Computers și apoi faceți clic dreapta pe All Users OU (sau orice altceva) și alegeți Delegate Control, așa cum se arată în Figura 1. Faceți clic pe butonul Următorul pentru a avansa dincolo de pagina de întâmpinare a expertului.

permisiuni delegate Active Directory (vizualizare/eliminare)

în pagina Utilizatori sau grupuri a expertului, faceți clic pe butonul Adăugare.

în caseta de dialog Selectare utilizatori, computere sau grupuri, introduceți numele grupului( Resetare parolă), faceți clic pe butonul Verificare nume pentru a vă asigura că numele grupului este corect și faceți clic pe OK, așa cum se arată în figura următoare:

permisiuni delegate Active Directory (vizualizare/eliminare)

după ce vă asigurați că numele grupului este listat în pagina Utilizatori sau grupuri, faceți clic pe Următorul, așa cum se arată în figura următoare:

permisiuni delegate Active Directory (vizualizare/eliminare)

pe pagina activități de Delegat, selectați resetați parolele utilizatorului și forțați schimbarea parolei la următoarea conectare și faceți clic pe Următorul, așa cum se arată în figura următoare:

permisiuni delegate Active Directory (vizualizare/eliminare)

când faceți clic pe butonul Terminare, delegarea expertului de Control adaugă permisiunile solicitate la toți utilizatorii OU. Puteți vizualiza efectele delegării făcând clic dreapta pe toți utilizatorii OU, alegând proprietăți și selectând fila Securitate. (Dacă fila Securitate nu este vizibilă, activați opțiunea caracteristici avansate din meniul Vizualizare al consolei Active Directory Users and Computers.)

pentru o vizualizare detaliată, puteți face clic pe butonul Avansat. Următoarea figură arată caseta de dialog Setări avansate de securitate care apare.

permisiuni delegate Active Directory (vizualizare/eliminare)

verificați permisiunea (folosind PowerShell)

acum că am descoperit delegația, s-ar putea să vă întrebați dacă există delegații despre care nu știți, fie de la angajații din trecut, fie de la administratorii rău intenționați.

am creat un scurt script PowerShell care va căuta fiecare tip de obiect delegabil și va lista cele două delegații comune de permisiune, reset password și send-as (from Exchange).

Iată un eșantion rulat dintr-un domeniu:

permisiuni delegate Active Directory (vizualizare/eliminare)

și aici codul scriptului:

###### Search common delegation targets$filter = "(|(objectClass=domain)(objectClass=organizationalUnit)(objectClass=group)(sAMAccountType=805306368)(objectCategory=Computer))" ###### Search just OUs and Groups#$filter = "(|(objectClass=organizationalUnit)(objectClass=group))"###### More filters can be found here: http://www.ldapexplorer.com/en/manual/109050000-famous-filters.htm###### Connect to DOMAINCONTROLLER using LDAP path, with USERNAME and PASSWORD#$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP"), "USERNAME", "PASSWORD") ###### Connect to DOMAINCONTROLLER using LDAP path$bSearch = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DOMAINCONTROLLER/LDAP") $dSearch = New-Object System.DirectoryServices.DirectorySearcher($bSearch)$dSearch.SearchRoot = $bSearch$dSearch.PageSize = 1000$dSearch.Filter = $filter #comment out to look at all object types$dSearch.SearchScope = "Subtree"####### List of extended permissions available here: https://technet.microsoft.com/en-us/library/ff405676.aspx$extPerms = '00299570-246d-11d0-a768-00aa006e0529', 'ab721a54-1e2f-11d0-9819-00aa0040529b', '0'$results = @()foreach ($objResult in $dSearch.FindAll()){ $obj = $objResult.GetDirectoryEntry() Write-Host "Searching... " $obj.distinguishedName $permissions = $obj.PsBase.ObjectSecurity.GetAccessRules($true,$false,) $results += $permissions | Where-Object { $_.AccessControlType -eq 'Allow' -and ($_.ObjectType -in $extPerms) -and $_.IdentityReference -notin ('NT AUTHORITY\SELF', 'NT AUTHORITY\SYSTEM', 'S-1-5-32-548') } | Select-Object ` @{n='Object'; e={$obj.distinguishedName}}, @{n='Account'; e={$_.IdentityReference}}, @{n='Permission'; e={$_.ActiveDirectoryRights}}}$results | Out-GridView

pentru a utiliza acest script pe propriul domeniu:

  • deschideți utilizatorii și computerele Active Directory și navigați la domeniul (sau unitatea organizațională) pe care îl investigați.
  • faceți clic dreapta pe el și alegeți Proprietăți.
  • în fila Editor de atribute, căutați proprietatea distinguishedName.
  • selectați-l și apăsați Vizualizare, apoi copiați calea LDAP. Veți avea nevoie de asta mai târziu.
  • Editați linia 6 ($bSearch = …), înlocuind DOMAINCONTROLLER cu numele unuia dintre DCs-urile domeniului dvs.
  • Editați linia 6, înlocuind LDAP cu calea pe care ați copiat-o anterior.
  • Salvați scriptul și apăsați run.
  • lăsați scriptul să caute prin Active Directory; progresul este raportat în consolă și când este finalizat, veți primi un pop-up care detaliază obiectele care au permisiuni delegate acestora.

Lasă un răspuns

Adresa ta de email nu va fi publicată.