Я в процессе делегирования некоторых задач Active Directory группе пользователей. Эти пользователи не имеют прав администрирования домена и будут выполнять только такие задачи, как создание / отключение учетных записей в одном подразделении. У меня два вопроса:
а) Чтобы пользователи могли выполнять эти действия со своих рабочих станций, есть ли какой-либо другой метод, кроме установки Удаленный сервер и средства администрирования? Могу ли я как-нибудь установить только оснастку «Active Directory - пользователи и компьютеры»?
б) Несмотря на создание настраиваемой оснастки AD с использованием mmc.exe, так что единственное управляемое подразделение находится в корне, я был удивлен, увидев, что пользователи по-прежнему имеют доступ для чтения ко всей структуре домена AD. Это сделано намеренно или у меня где-то пропали разрешения?
Большое спасибо!
Прошедшие проверку пользователи имеют разрешения READ (наряду с некоторыми другими разрешениями) в корне домена по умолчанию. Эти разрешения наследуются всеми дочерними объектами в домене (AFAIK) и связаны с работой Active Directory, его функциями и объектами. Эти разрешения не имеют прямого отношения к делегированию полномочий.
a) Есть ли какой-либо другой метод, кроме установки удаленного сервера и инструментов администрирования, для того, чтобы пользователи могли выполнять эти действия со своих рабочих станций? Могу ли я как-нибудь установить только оснастку «Active Directory - пользователи и компьютеры»?
ADUC является частью RSAT. Им нужно это установить, если они не хотят использовать командную строку net use команды, что было бы не очень эффективно.
б) Несмотря на создание настраиваемой оснастки AD с использованием mmc.exe, так что единственное управляемое подразделение находится в корне, я был удивлен, увидев, что пользователи по-прежнему имеют доступ для чтения ко всей структуре домена AD. Это сделано намеренно или у меня где-то пропали разрешения?
Это нормально и ожидаемо. В вашем AD практически нет ничего секретного, и в большинстве случаев для этого действительно нет причин. Даже если вы не установили ADUC для этих пользователей (или любых других пользователей), они все равно смогут собирать информацию о вашем домене, используя dsquery, net use, или Get-AD* Командлеты PowerShell.
Не волнуйтесь, все пошло не так. Так и должно быть.
Ты на правильном пути. Вам не следует беспокоиться о том, что делегированные администраторы имеют полный доступ для чтения к Active Directory, потому что фактически практически все, т.е. все аутентифицированные пользователи, уже имеют полный доступ для чтения к Active Directory, потому что это, в конце концов, служба каталогов, которая, таким образом, доступна для все.
Что касается делегированных администраторов, они имеют доступ ко всей функциональности ADUC / RSAT, даже если функциональность может существовать, если у них нет базовых разрешений для выполнения этих задач, они не смогут выполнять эти задачи, и, следовательно, они не смогут делать то, к чему у них нет доступа.
Так что позволить им использовать ADUC - это нормально. Все, что вам нужно убедиться, это то, что у них будет наименьшее количество разрешений в Active Directory, которые им необходимы для выполнения возложенных на них обязанностей.