Permissões do Active Directory: Excluir vs Mover

5

Eu quero que nosso suporte técnico mova as contas de usuário, mas NÃO as exclua. Aqui está o resumo de nossas permissões atuais definidas nas UOs afetadas (isso permite que elas excluam as contas de usuários):

  • Permitir - Controle total - Objetos de usuário descendente
  • Permitir - Criar / Excluir objetos do usuário - Este objeto e todos os objetos descendentes

Se eu alterar essa linha superior editando a ACE e desmarcando a caixa "Excluir", obtenho o resultado desejado de que o suporte técnico não possa excluir objetos de usuário. No entanto, eles obtêm erros de acesso negado quando tentam mover usuários entre unidades organizacionais.

É o que eu quero possível? A Microsoft não distingue seriamente os movimentos das exclusões?

    
por Fëanor 02.12.2014 / 21:23

2 respostas

11

Logicamente, um "movimento" é uma cópia (ou no idioma do sistema de arquivos, um link físico) seguido por uma exclusão: você não pode mover algo se não puder removê-lo de sua localização original.

Portanto, não, a Microsoft não faz distinção entre "mover" e "excluir" porque, para fazer o primeiro, você deve, por necessidade, fazer o segundo.

Se você quiser impedir a exclusão acidental de contas / objetos de usuário no AD, você pode defini-los como "Protect object from accidental deletion" manualmente na guia Objeto do usuário no ADUC:

ouvocêpodefazeroscriptparacadaobjetodeusuárionoADdeumasóvez:

Get-ADObject-filter{(ObjectClass-eq"user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
    
por 02.12.2014 / 21:38
1

O Voretaq7 forneceu uma boa resposta à sua pergunta específica (o AD não distingue), mas eu quero acrescentar que o que você quer é possível, dependendo de quanto trabalho extra você quer colocar.

Os métodos para isso envolvem conceder aos usuários do suporte técnico permissões específicas e delegadas para executar funções com uma conta de serviço que seja mais privilegiada do que eles, sem efetuar login diretamente como essa conta de serviço.

Todos eles também envolvem ser muito cuidadosos com o tratamento de exceções e as entradas permitidas para que seus usuários não possam fornecer informações inesperadas que explorem os privilégios mais altos da conta de serviço.

Você poderia, por exemplo:

  • Faça com que os usuários façam login em uma página da Web com várias opções pré-preparadas, como "mover um usuário" ou "desativar uma conta". Sua entrada pode então ir para o seu servidor e iniciar uma ação pela conta de serviço (por favor, não inclua a função no código da página da Web de tal forma que alguém possa colher as credenciais da conta de serviço usando 'view source'.)
  • Use configurações de sessão do powershell . Eles permitem que você delegue um usuário ou direitos de grupo para invocar comandos específicos como outro usuário ou grupo (muito parecido com a delegação de root do Linux abaixo). Move-ADObject é o cmdlet em que você está interessado aqui, mais uma vez, tenha cuidado com a conta que você permite invocam como não têm privilégios excessivos (ou seja, definitivamente não é um administrador de domínio porque você não quer que eles movam seus DC's aleatoriamente!)

Para referência, acredito que o linux tem algo semelhante a isto, com usuários tendo privilégios su limitados para fazer coisas específicas com comandos específicos (eu encontrei vários recursos com um google para 'delegação de root').

    
por 03.12.2014 / 04:30