In großen Organisationen gibt es mehrere Teams von IT-Administratoren und Helpdesk-Spezialisten, in diesem Fall ist eine Delegation erforderlich. Beispielsweise können Helpdesk-Spezialisten oder Teamleiter Passwörter zurücksetzen, Systemadministratoren können Gruppenmitgliedschaften ändern und nur IT-Architekten-Administratoren dürfen Organisationseinheiten verwalten. Diese Aufgabentrennung ist für den Betrieb und die Sicherheit sehr hilfreich.
Um die Kontrolle zu delegieren, benötigen Sie Domänenadministratorberechtigungen oder haben vollständige Kontrolle über die Organisationseinheiten, über die Sie die Kontrolle delegieren möchten. Sie können dies auf verschiedene Arten tun: über ADUC, die Eingabeaufforderung und andere.
Delegation über ADUC
Um die Kontrolle über zu delegieren Active Directory-Benutzer und -Computer (dsa.msc). Folge diesen:
Führen Sie dsa.msc aus. RechtscliMarkieren Sie die benötigte Organisationseinheit und wählen Sie „Kontrolle delegieren...“ aus.
Das Assistent zum Delegieren der Kontrolle erscheint dort, wo Sie es brauchen click“Weiter”. Dann click“Hinzufügen...„Wählen Sie, an wen Sie die Kontrolle delegieren möchten und click Weiter
Wählen Sie im Fenster „Zu delegierende Aufgaben“ die Aufgaben aus, die Sie delegieren möchten. Sie können auch eine benutzerdefinierte Aufgabe von Grund auf erstellen.
Klicken Sie auf Kostenlos erhalten und dann auf Installieren. Weiter und Fertig stellen.
Delegierungsberechtigungen können in den Eigenschaften der Organisationseinheit angezeigt werden Sicherheit Tab.
Delegierung über die Befehlszeile
Für die Berechtigungsdelegierung wurde Microsoft entwickelt dsacls.exe. Es eignet sich gut für skriptgesteuerte Bereitstellungen. Es eignet sich auch gut zur Anzeige aktueller Berechtigungen. Sie können /a pa verwendenrameter, um alle Berechtigungen für die OU anzuzeigen, zum Beispiel:
dsacls.exe "OU=Employees,DC=office,dc=local" /a
Hier sehen wir KJenkins-Berechtigungen, die wir in unserem vorherigen Beispiel delegiert haben.
Um einem Konto neue delegierte Berechtigungen hinzuzufügen, müssen wir ihm Berechtigungen gemäß einer bestimmten Syntax zuweisen. Die Syntax besteht aus Grundberechtigungen und Erweitert. Hier ist die Liste der Grundberechtigungen:
- GR - Allgemeine Lektüre
- GE - Generische Ausführung
- GW - Generisches Schreiben
- GA - Generische volle Kontrolle
Die beliebtesten erweiterten Berechtigungen:
- SD - löschen
- DT - Löschen Sie ein Objekt und alle untergeordneten Objekte
- RC - Lesen Sie die Sicherheitsinformationen
- WD - Sicherheitsinformationen ändern
- WO - Besitzerinformationen ändern
- CC - Untergeordnetes Objekt erstellen
- DC - Untergeordnetes Objekt löschen
- RP - Eigenschaft lesen
- WP - Eigentum schreiben
Lassen Sie uns an unseren Benutzer KJenkins delegieren Löschen Berechtigungen für Mitarbeiter OU:
dsacls.exe "OU=Employees,DC=office,DC=local" /G OFFICE\KJenkins:SD;
Delegation über die integrierten Gruppen
Standardmäßig gibt es integrierte Gruppen wie Kontooperatoren und Serveroperatoren, die Verwaltungsaufgaben in Active Directory übernehmen.
Sie können jeden Benutzer diesen Gruppen zuordnen und zusätzliche Berechtigungen in der Domäne erhalten, ohne Vollzugriff gewähren zu müssen. Seien Sie jedoch gewarnt, dass die integrierte Gruppe „Kontobetreiber“ mehr Berechtigungen bereitstellt, als tatsächlich erforderlich sind. Sie können alle Objekte in allen Organisationseinheiten mit Ausnahme der Organisationseinheit „Domänencontroller“ erstellen, ändern und löschen, mit Ausnahme der Mitglieder der Gruppe „Domänenadministratoren“.
Best Practices für die Delegation von OU-Rechten
- Erstellen Sie eine Delegationskontrollmatrix, um alle Zugriffsrechte auf Ihr AD zu dokumentieren
- Verwenden Sie beim Delegieren von Berechtigungen immer Gruppen und keine einzelnen Benutzerkonten. Es wird für Sie einfacher und sicherer sein, Delegationszugriff zu gewähren
- Vermeiden Sie das Verweigern von Berechtigungen, da diese Vorrang vor zulässigen Berechtigungen haben und Ihre Zugriffslisten dadurch zu komplex für die Verwaltung werden können.
- Versuchen Sie, die Delegationseinstellungen auf unerwünschte Auswirkungen zu testen.