Назад | Перейти на главную страницу

Ограниченный доступ к контроллеру домена для администрирования Active Directory

Я должен предоставить группе Jr. Sys Admins ограниченный доступ к контроллеру домена с целью ограниченного администрирования пользователей и групп Active Directory (т.е. создание пользователей, сброс пароля и т. Д.). Я реализовал делегирование, чтобы ограничить объем задач Jr. Системные администраторы могут работать в Active Directory. Некоторые из этих пользователей используют macOS, поэтому использование инструментов удаленного администрирования сервера, подобных тем, которые можно использовать на компьютере с Windows, не подходит для них.

Таким образом, я хотел бы предоставить им доступ по протоколу RDP к контроллеру домена. Я бы хотел, чтобы они могли открывать «Пользователи и компьютеры Active Directory» (без запроса учетных данных администратора), но максимально ограничили их доступ к остальной части системы. Примечание: мне может потребоваться предоставить им доступ к нескольким другим элементам для выполнения других связанных должностных обязанностей.

Похоже, ваша основная проблема заключается в безопасном предоставлении пользователю доступа к инструменту «Пользователи и компьютеры Active Directory», который находится на контроллере домена (и только на контроллере домена) запрашивает повышение UAC при попытке его запустить. Я считаю, что это ошибка или непреднамеренная функция в Windows, по-видимому, вызванная членством в локальной группе домена «Псевдоним доступа, совместимого с пред-Windows 2000», что привело к разделению токена во время входа в систему.

Итак, одним из возможных решений было бы изменить членство в этой группе, но я не уверен, каковы могут быть побочные эффекты этого. Поэтому вместо этого я рекомендую отключить повышение UAC как описано в этом ответе, т.е. установив переменную окружения __compat_layer к RunAsInvoker для рассматриваемых пользователей.

Это заставляет Windows игнорировать тот факт, что mmc.exe настроен на запрос повышения прав, если у пользователя есть разделенный токен, и он просто запускает его без каких-либо повышенных привилегий.

Обратите внимание, что имя переменной начинается с двух знаков подчеркивания, а не только с одного.

РЕДАКТИРОВАТЬ: установка переменной окружения через групповую политику не работает; похоже, что для имен переменных окружения, начинающихся с символа подчеркивания, есть какая-то особая обработка. Вам понадобится приложение или сценарий, чтобы настроить его за вас.

Или вы можете отключить UAC, хотя я не уверен, какие побочные эффекты это может иметь.

Я считаю, что смог добиться желаемых результатов с помощью комбинации конфигураций.

  1. Создано OU для "Администраторов AD с ограниченным доступом"
  2. Создал первую учетную запись пользователя в подразделении, озаглавленном выше.
  3. В моем подразделении «Пользователи компании» я делегировал доступ к учетной записи пользователя для: создания, удаления, управления учетными записями пользователей, сброса паролей, чтения всей информации о пользователях.
  4. В моем подразделении «Группы компаний» я делегировал доступ к учетной записи пользователя для: изменения членства в группе.
  5. На контроллере домена в разделе «Локальная политика безопасности»> «Управление правами пользователей»> «Разрешить вход через службы удаленного рабочего стола»: добавлена ​​учетная запись пользователя.
  6. Добавил пользователя во встроенную группу «Операторы резервного копирования». Это обеспечивает достаточные привилегии для открытия пользователей и компьютеров Active Directory.
  7. Создал GPO и связал его с OU «Limited AD Administrators» со следующими ограничениями:

Запускать только указанные приложения Windows: dsa.msc, mmc.exe

Запретить доступ к командной строке

Запретить доступ к инструментам редактирования реестра

Удалите и запретите доступ к командам Shut Down, Restart, Sleep и Hibernate.