Microclimate.su

IT Новости
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Переназначить полномочия администратора на другой аккаунт

Делегирование административных полномочий в Active Directory

В этой статье мы рассмотрим особенности делегирования административных полномочий в домене Active Directory. Делегирование позволяет предоставить право на выполнение некоторых задач управления в AD обычным пользователям домена, не включая их в привилегированные доменные группы, такие как Domain Admins, Account Operators и т.д.. Например, с помощью делегирования вы можете предоставить определённой группе пользователей (допустим, Helpdesk) право на добавление пользователей в группы, заведение новых пользователей в AD и сброс пароля.

Особенности делегирования прав в AD

Для делегации полномочий в AD используется мастер Delegation of Control Wizard в графической оснастке Active Directory Users and Computers (DSA.msc).

Административные права в AD можно делегировать на довольно детальном уровне. Одной группе можно предоставить право на сброс пароля в OU, другой – на создание и удаление аккаунтов, третье на сброс пароля. Можно настроить наследование разрешений на вложенные OU. Вы можете делегировать полномочия на уровне:

  1. Сайта AD;
  2. Всего домена;
  3. Конкретной OU в Active Directory.

Обычно не рекомендуется делегировать разрешения непосредственно для пользователя. Вместо этого создайте в AD новую группу безопасности, добавьте в нее пользователя и делегируйте полномочия на OU для группы. Если вам понадобится предоставить такие же права в домене еще одному пользователю, вам будет достаточно добавить его в группу безопасности.

Делегирование полномочий на сброс паролей и разблокировку учетных записей

Представим, наша задача – предоставить группе HelpDesk право на сброс пароля и разблокировку аккаунтов пользователей в домене. Итак, создадим новую группу в AD с помощью PowerShell:

New-ADGroup «HelpDesk» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global

Добавьте в группу нужных пользователей:

Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb

Запустите консоль Active Directory Users and Computers (ADUC), щелкните ПКМ по OU с пользователями (в нашем примере это ‘OU=Users,OU=Moscow,DC=corp,dc=winitpro,DC=ru’) и выберите пункт меню Delegate Control.

Выберите группу, которой вы хотите предоставить административные полномочия.

Выберите из списка один из преднастроенных наборов привилегий (Delegate the following common tasks):

  • Create, delete, and manage user accounts;
  • Reset user passwords and force password change at next logon;
  • Read all user information;
  • Create, delete and manage groups;
  • Modify the membership of a group;
  • Manage Group Policy links;
  • Generate Resultant Set of Policy (Planning);
  • Generate Resultant Set of Policy (Logging);
  • Create, delete, and manage inetOrgPerson accounts;
  • Reset inetOrgPerson passwords and force password change at next logon;
  • Read all inetOrgPerson information.
Читать еще:  Налоговый кодекс как источник административного права

Либо создайте собственное задание делегирования (Create a custom task to delegate). Я выберу второй вариант.

Выберите тип объектов AD, на которые нужно предоставить права. Т.к. нам нужно предоставить права на учетные записи пользователей, выберите пункт User Object. Если вы хотите предоставить право на создание и удаление пользователей в этом OU, выберите опции Create/Delete selected objects in this folder. В нашем примере мы не предоставляем таких полномочий.

В списке разрешений нужно выбрать те привилегий, которые вы хотите делегировать. В нашем примере мы выберем право на разблокировку (Read lockoutTime и Write lockoutTime) и сброс пароля (Reset password).

Нажмите Next и на последнем экране подтвердите назначение выбранных полномочий.

Теперь под учетной записью пользователя из группы HelpDesk попробуйте из PowerShell сбросить пароль пользователя из OU Users, например из PowerShell:

Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa$$w0rd1” -Force -Verbose) –PassThru

Пароль должен сброситься успешно (если он соответствует доменной политике паролей).

Теперь попробуйте создать пользователя в данной OU с помомью командлета New-ADUser:

New-ADUser -Name kalininda -Path ‘OU=Users,OU=Moscow,OU=winitpro,OU=DC=ru’ -Enabled $true

Должна появится ошибка доступа, т.к. полномочий на создание учетных записей вы не делегировали.

Для контроля пользователям, которым вы делегированными привилегии, вы можете использовать журналы контроллеров домена. Например, вы можете отследить кто сбросил пароль пользователя в домене, узнать кто создал учетную запись пользователя в AD или отследить изменения в определённых группах AD.

Делегация полномочий на присоединение компьютеров в домен AD

По умолчанию любой пользователь домена может присоединить в домен 10 компьютеров. При добавлении в домен 11-го компьютера появляется сообщение об ошибке.

Вы можете изменить это ограничение на уровне всего домена, увеличив значение в атрибуте ms-DS-MachineAccountQuota (ссылка). Либо (гораздо правильнее и безопаснее), делегировав право на присоединение компьютеров к домену в определенной OU конкретной группе пользователей (helpdesk). Для этого нужно предоставить право создавать объекты типа (Computer objects). В мастере делегирования выберите Create selected objects in this folder.

А в секции Permissions выберите Create All Child Objects.

Читать еще:  Административные и экономические методы управления

Отключаем делегирование прав в домене AD

Чтобы лишить группу делегированных ранее прав на OU, откройте свойства OU в консоли ADUC и перейдите на вкладку Security.

В списке разрешений найдите группу, который вы делегировали права и нажмите Remove. Список предоставленных полномочий можно посмотреть на вкладке Advanced. Как вы видите для группы HelpDesk разрешен сброс паролей.

Также со вкладки Security ->Advanced вы можете самостоятельно настроить делегирование полномочий, назначая нестандартные разрешений различным группам безопасности.

Передача права администрирования доменного имени .RU/.РФ/.SU и международных зонах (Смена администратора домена)

Изменение администратора домена доступно для доменов в зоне .RU/.РФ для тех доменов, регистратором которых является ООО «Бегет».
Как перенести домены на обслуживание к регистратору ООО «Бегет» читайте здесь.

Для передачи домена другому лицу (смена администратора домена) вам необходимо:

Если у вас нет доступа в панель управления, то вам необходимо:
— либо восстановить доступ здесь;
— либо зарегистрироваться на нашем сайте и обратиться в техническую поддержку через тикет в разделе «Тикеты» для добавления домена и прохождения идентификации администратора домена.

  • В панели управления в разделе «Домены» выбрать вкладку «Администраторы».
  • Напротив домена, для которого вы хотите изменить администратора, необходимо нажать на иконку (Редактирование персоны) и перейти к редактированию персоны.
  • На странице «Редактирование персоны» вам необходимо ввести данные нового администратора домена и сформировать заявление на изменение администратора домена.
  • Заявление, сформированное в панели управления, вам необходимо будет распечатать и принести в офис по адресу — Санкт-Петербург, площадь Карла Фаберже д.8Б, оф. 723 Либо заверить распечатанное заявление у нотариуса и отправить нам по адресу — 195027, Россия, г.Санкт-Петербург, а/я 209.
  • Дождаться обработки заявления с нашей стороны. Заявка на смену администратора имеет уникальный номер. При получении заявления мы сверяем данные указанные в заявлении с данными указанными при формировании заявления.
  • Администратор будет изменен после того, как мы получим заявление и новый администратор подтвердит свое согласие на получение домена, которое будет отправлено на контактный email нового администратора.
    В разделе «Домены» на вкладке «Администраторы» вы также можете отслеживать статус заявки на смену данных администратора домена. Подробнее смотрите в руководстве по панели управления.

    Не допускается передача права администрирования доменного имени:

    • если истек срок регистрации доменного имени;
    • в течение 30 дней с момента получения администратором права администрирования от другого лица;
    • если доменное имя совпадает с включенным в стоп-лист обозначением;
    • в случае невыполнения запроса регистратора о предоставлении сведений и документов в установленный срок в соответствии с пунктом 9.3.7 Правил регистрации доменных имен в доменах .RU и .РФ;
    • в случае установления ограничений на действия с доменными именами в соответствии с условиями Положения
    Читать еще:  Администратор чего либо

    Передача права администрирования доменного имени в международных зоне .SU (Смена администратора домена)

    Для смены администратора домена вам необходимо написать заявку из панели управления в разделе «Помощь и поддержка» с указанием домена и данных нового лица, которое будет администратотом домена. После вам будет сформировано и выдано заявление.

    Заявление юридического лица также можно доставить 2-мя вариантами:

    • Отправить на наш почтовый адрес нотариально заверенное заявление.
    • Личного привезти заявление в офис. Для этого необходимо иметь с собой оригинал паспорта для идентификации личности. Заверять при этом ничего не нужно.

    Заявление физического лица также можно доставить 2-мя вариантами:

    • Отправить заявление на наш почтовый адрес, к письму необходимо приложить копии ИНН, ОГРН. Данные копии необходимо заверить печатью организации.
    • Личного привезти заявление в офис. Также вместе с заявлением необходимо привезти копии ИНН, ОГРН, заверенные печатью организации.

    Смена администратора домена невозможна:

    • если истек срок регистрации доменного имени;
    • в случае невыполнения запроса регистратора о предоставлении сведений и документов в установленный срок в соответствии с пунктом 5.9 Правил;
    • в случае установления ограничений на действия с доменным именем
    • в течение 60 дней с момента смены регистратора или получения права администрирования домена от другого лица.

    Передача права администрирования доменного имени в международных зонах (Смена администратора домена)

    Для смены администратора домена в международных зонах вам необходимо написать заявку из панели управления в разделе «Помощь и поддержка». В ней необходимо указать следующую информацию о новом администраторе:

    • Гражданство
    • Имя и фамилия
    • Почтовый адрес (с индексом)
    • Компания (если домен на юр.лицо)
    • Контактная информация (email, телефон)

    Обращаем ваше внимание, что почтовый индекс должен соответствовать стране, гражданство которой вы указываете при регистрации. Не рекомендуется указывать гражданство в соответствии с почтовым адресом, если оно таковым не является.

    В течение суток заявка на смену данных администратора будет обработана.

  • Ссылка на основную публикацию
    Adblock
    detector