Делегирование объектов Active Directory

date image 2018-02-14
views image 375
Поделись с друзьями: 
12

Содержание

Введение…………………………………………………...…….3

    1Делегирование объектов Active Directory………………...4

    2Настройка прав доступа …………………………………...24

Заключение …..………………………......……....……….......30



Введение

 «



Делегирование объектов Active Directory


Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL можно просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP». Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.

Пример делегирования административных полномочий.

Одна из задач, которую необходимо было выполнить, представляла собой следующее: нужно было предоставить возможность определенной группе пользователей, скажем, некоему техническому персоналу, вносить компьютеры в домен и распределять эти компьютеры по различным подразделениям. В принципе, эту задачу можно назвать тривиальной, но условия были изменены, чтобы было интересней. Что было сделано: поскольку, по умолчанию каждый пользователь может присоединить компьютер к домену, исправила эту ситуацию таким образом, чтобы присоединять компьютеры к домену могли только лишь те пользователи, которые входят в группу безопасности «Поддержка». Следовательно, выполнила следующие действия:

1. Для начала на контроллере домена открыла оснастку «Active Directory – пользователи и компьютеры». Здесь создала глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Эта группа выглядит следующим образом:

Рис. 1. Свойства группы, отвечающей за присоединение компьютеров к домену

2. Следующим делом указала, что компьютеры присоединять к домену могут только лишь пользователи, входящие в созданную на предыдущем этапе глобальную группу безопасности. Для этого открыла оснастку «Управление групповой политикой» и перешла к редактору GPME для созданного по умолчанию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers».


В отобразившейся оснастке перешла к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и локализовала параметр политики, который называется «Добавление рабочих станций к домену». Открыв диалоговое окно данного параметра политики, сразу обнаружила, что по умолчанию там указана группа «Прошедшие проверку», благодаря которой присоединять компьютеры к домену может каждый пользователь. Теперь, для того, чтобы разрешить присоединять к домену компьютеры только пользователям из группы безопасности «Поддержка», удалила группу, указанную в этом параметре политики по умолчанию, а затем при помощи кнопки «Добавить пользователя или группу» и диалога поиска объектов Active Directory, добавила созданную ранее глобальную группу безопасности. Процесс добавления такой группы изображен на следующей иллюстрации:


Рис. 2. Изменение группы, отвечающей за присоединение компьютеров к домену

3. Теперь несмотря на то,  в каких сценариях выполняется делегирование, и что в большинстве случаев делегирование выполняется на уровне подразделений, в данном случае для предоставления возможности присоединения компьютеров к домену, в оснастке «Active Directory – пользователи и компьютеры» вызвала мастера делегирования непосредственно для уровня всего домена. Следовательно, в оснастке «Active Directory – пользователи и компьютеры» в области дерева самой оснастки вызвала контекстное меню для домена и выбрала  опцию «Делегирование управления», как показано ниже:

Рис. 3. Вызов мастера делегирования управления

4. На первой странице мастера ознакомилась с основной задачей данного средства и, ввиду того, что на первой странице нельзя выполнять какие-либо действия, нажала на кнопку «Далее». На второй странице мастера, странице «Пользователи и группы», локализовала группу, для которой необходимо делегировать управление. Нажала на кнопку «Добавить» и при помощи соответствующего диалога выбрала группу «Поддержка», как показано на следующей иллюстрации:

Рис. 4. Добавление группы, для которой выполняется делегирование управления
После того, как группа была  добавлена, для перехода к следующей странице мастера нажала  на кнопку «Далее».

5. Страница «Делегируемые задачи» позволила мне определить конкретные операции, которые должны выполнять в доменных службах Active Directory пользователи или группы пользователей, которые были добавлены на предыдущей странице мастера. Так как делегировалась задача присоединения компьютеров к домену и такую задачу можно найти в предоставленном списке распространенных задач, напротив задачи «Присоединение компьютера к домену» установила флажок и нажала на кнопку «Далее». Обратила внимание на то, что данный мастер позволяет делегировать не только те задачи, которые фигурируют в данном списке, и в том случае, если вы не смогли здесь сразу найти конкретную задачу, нужно будет создавать особую задачу для делегирования. Создание особой задачи будет показано далее, а делегирование задачи присоединения компьютера к домену изображено на следующей иллюстрации:


Рис. 5. Делегирование задачи присоединения компьютеров к домену для членов группы «Поддержка»

6. На последней странице мастер повторно проинформировал о том, что работа мастера была успешно выполнена и определенной группе пользователей было передано управление для присоединения компьютеров к домену, что, собственно, и являлось поставленной передо мной задачей:

Рис. 6. Завершение процесса делегирования управления

Теперь, после того как были выполнены все эти действия, присоединять компьютеры к домену смогут только лишь те пользователи, которые являются членами созданной ранее глобальной группы безопасности «Поддержка».

Определение задач, для которых было предоставлено делегирование

 

Сразу после того, как была предоставлена возможность присоединения компьютеров к домену определенной группе безопасности, возник вопрос такого характера: «Можно ли как-то просмотреть делегированные ранее задачи»?  Просмотреть можно, причем далеко не единственным методом. Далее будут представлены несколько основных вариантов просмотра задач, для которых было передано делегирование:

1. Первый метод – это использование оснастки «Active Directory – пользователи и компьютеры». Прежде всего, для того чтобы просмотреть задачи, которые были делегированы, в меню «Вид» включила для самой оснастки отображение дополнительных компонентов. После этого перешла к диалоговому окну свойств подразделения, для которого выполнялось делегирование. Так как раньше выполнялось делегирование для уровня всего домена, здесь открылось диалоговое окно свойств домена.
В отобразившемся диалоговом окне перешла на вкладку «Безопасность», а затем оттуда вызвала диалоговое окно дополнительных параметров безопасности. Здесь, в отобразившемся диалоговом окне, обнаружила все записи ACE, которые были заданы как по умолчанию, так и при помощи мастера делегирования. Например, на следующей иллюстрации видно, что для группы «Поддержка» было добавлено разрешение, позволяющее создавать объекты «Компьютер»:


Рис. 7. Просмотр делегированных задач для группы «Поддержка»
При желании я могла бы как изменить разрешения для текущей группы, так и, при необходимости, удалить его полностью.

2. Рассмотела более изощренный метод, а именно использование LDP.exe. На этот раз выполнила следующие действия:
Открыла инструмент LDP и при помощи меню «Подключение» подключилась к контроллеру домена по порту 389, как показано на следующей иллюстрации:

Рис. 8. Подключение к контроллеру домена
После этого выполнила привязку, используя одноименную команду из меню «Подключение». Так как в данный момент я выполнила вход в систему от учетной записи администратора, я могла не вводить учетные данные, а сразу в отобразившемся диалоговом окне «Привязка» нажать на кнопку «ОК», как показано ниже:



Рис. 9. Выполнение привязки
Теперь подключилась к необходимому подразделению а на другом примере, который не буду расписывать в данном отчете, сразу ко всему домену, выбрав команду «Дерево» из меню «Вид». В том случае, если следует просмотреть весь домен, оставила поле пустым, а когда я планировала просматривать конкретное подразделение, указала различающееся имя в следующем формате: «OU=имя OU, DN=domain…».


Затем, чтобы увидеть, кому было предоставлено делегирование, просмотрела всю структуру в древовидном представлении. Другими словами, из меню «Вид» выбрала команду «Дерево» и в отобразившемся диалоговом окне «Дерево» оставила данное текстовое поле пустым.

Уже находясь в привычной области дерева, выбрала подразделение, предоставление прав к которому проверила, а затем из контекстного меню выбрала команду «Дополнительно» и «Дескриптор безопасности». В отобразившемся диалоговом окне удостоверилась в том, что у меня выбран правильный DN, а также в том, что установлен флажок на опции «Список ACL», как показано на следующей иллюстрации:



Рис. 10. Открытие диалогового окна дескрипторов безопасности
Теперь в отобразившемся диалоговом окне просмотрела все группы и пользователей, которым были предоставлены определенные разрешения. При необходимости также была возможность отредактировать либо удалить делегируемые разрешения, воспользовавшись соответствующими кнопками. Диалоговое окно дескрипторов безопасности, как и окно редактирования делегируемых разрешений, отображены на следующей иллюстрации:

Рис. 11. Просмотр и изменение делегируемых разрешений для группы поддержки

3. Третий вариант в какой-то степени можно назвать более модернистическим, так как я определила, какие разрешения были назначены этой же группе поддержки, но уже при помощи оснастки «Центр администрирования Active Directory». Для этого открыла данное средство, выбрала в дереве оснастки подразделение, для которого просмотрела, кому было предоставлено делегирование, а затем перешла к свойствам выбранного объекта, например, как показано на следующей иллюстрации, непосредственно из контекстного меню:

 

Рис. 12. Переход к свойствам выбранного объекта
После работы с оснасткой «Active Directory – пользователи и компьютеры» была возможность сразу определиться, что нужно сделать. В отобразившемся диалоговом окне перешла к группе «Разрешения», и мне осталось лишь выбрать требуемую группу и перейти к диалогу дополнительных параметров безопасности. Группа разрешений отображена ниже:

Рис. 13. Разрешения группы безопасности поддержки

4. Для просмотра разрешений, позволяющих контролировать действия пользователей в Active Directory, предусмотрена такая утилита командной строки как DSACLS. Зачастую данная команда выполняется с отличительным именем объекта. Например, для того, чтобы узнать, у кого есть разрешения ко всему домену, следует выполнить команду:
DSACLS DC=331zone,DC=com

Результат выполнения команды виден на следующей иллюстрации:

Рис. 14. Проверка разрешений для группы поддержки средствами командной строки


Однако, помимо разрешения присоединения компьютеров к домену и просмотра настроенных разрешений, у меня осталась еще одна небольшая задача, которая будет рассмотрена в следующем небольшом разделе.

Разрешения перемещения объектов между подразделениями

Последняя задача, которая будет рассмотрена в этой части отчета, представляет собой реализацию разрешения перемещения объектов компьютеров между подразделениями для группы безопасности «Поддержка». Так как в предыдущий раз разрешения для присоединения компьютеров к домену я реализовывала средствами делегирования управления, и в этот раз попробовала  поискать средства решения этой задачи в данном мастере. Для решения этой задачи отредактировала  некоторые разрешения для контейнера «Computers», так как известно, что объекты групповой политики невозможно связывать с данным контейнером, а сотрудникам подразделения поддержки необходимо распределять компьютеры по различным подразделениям.


После открытия мастера делегирования управления и добавления целевой группы обнаружила, что среди обычных задач невозможно выполнить подобные действия. В этом случае попробовала воспользоваться списком особых задач для делегирования. В отобразившемся диалоговом окне мне предоставлялась возможность делегирования всех объектов в выбранном мной контейнере (в этом случае,  я установила переключатель на опцию «этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»), а также возможность передачи управления только выбранным объектам, которые можно найти в соответствующем списке (опция «только следующим объектам в этой папке»).
Среди доступных объектов установила флажок на опции «Компьютер объектов», а затем под данным списком установила флажок на опции «Удалить из этой папки выбранные объекты».
Диалоговое окно данной страницы мастера делегирования изображено на следующей иллюстрации:


Рис. 15. Страница создания особой задачи для делегирования
После этого, на следующей странице мастера, странице «Разрешения» —указала, что делегируется разрешение «Запись», и этого было достаточно.
Так как задачу по перемещению можно разделить на две части – удаление объекта из контейнера «Computers» и последующее создание объекта в другом подразделении – исключительно в качестве примера, создание объектов в специально созданном подразделении для учетных записей компьютеров будет продемонстрировано средствами изменения дополнительных параметров безопасности для требуемого подразделения (подобные действия были рассмотрены выше).
Сейчас, в том случае, когда я закрывала оснастку «Active Directory – пользователи и компьютеры», включила для нее отображение дополнительных компонентов, а затем перешла к диалоговому окну свойств подразделения, в которое должны перемещаться учетные записи компьютеров. В моем случае это подразделение «Клиенты».

 

В диалоговом окне свойств данного подразделения перешла к вкладке «Безопасность», а затем открыла диалоговое окно дополнительных параметров безопасности.

В отобразившемся диалоговом окне локализовала добавленную ранее группу и удостоверилась, что сотрудникам группы поддержки разрешается присоединять компьютеры к домену, но разрешения, связанные с удалением объектов, здесь отсутствуют, а затем перешла к диалогу изменения разрешений посредством нажатия на кнопку «Добавить».
В отобразившемся диалоговом окне «Элемент разрешения для Computers» добавила группу, которой будут применяться разрешения. Другими словами, нажала на ссылку «Выберите субъект» и при помощи соответствующего диалогового окна локализовала группу «Поддержка». Так как внутри созданного ранее подразделения могут находиться дочерние подразделения с различной разбивкой (например, компьютеров по отделам), из раскрывающегося списка «Применяется к» выбрала опцию «Этот объект и все дочерние объекты», что и установлено по умолчанию.
Оставалось только выбрать требуемое разрешение. Так как мне нужно разрешить перемещать компьютеры, а это означает, что объекты будут создаваться внутри данного и всех вложенных контейнеров, установила флажок напротив разрешения «Создание объектов: Компьютер», после чего сохранила все внесенные изменения. Диалоговое окно «Элемент разрешения для «Клиенты»» показано ниже:


Рис. 16. Добавление разрешений для создания объектов компьютеров








































Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

12

double arrow
Сейчас читают про:
article image
Мгновенный центр скоростей (МЦС) и его определение. Определение скоростей точек тела с помощью МЦС
article image
Личностные качества волонтеров, которые определяют эффективность волонтерской работы
article image
Три этапа Великой Отечественной войны
article image
Расчет на прочность при срезе и смятии
article image
Источники международного права
article image
Контроль за санитарным состоянием тумбочек, холодильников, за ассортиментом и сроками хранения продуктов
article image
Самый сильный аргумент, почему эволюция человека не могла быть

В сердцевине любой трудности таится благоприятная возможность. © Эйнштейн ==> читать все изречения...
like icon 5797
like icon 5726
Понравился сайт? Поделись им с друзьями: