Práticas recomendadas de delegação do Active Directory

4

Estou no processo de delegar algumas tarefas do Active Directory para um grupo de usuários. Esses usuários não têm direitos de administração de domínio e só executam tarefas como criar / desabilitar contas em uma única UO. Eu tenho duas perguntas:

a) Para que os usuários possam executar essas ações a partir de suas estações de trabalho, existe outro método além de instalar o Servidor remoto e ferramentas de administração ? Eu poderia instalar apenas o snap-in "Usuários e Computadores do Active Directory" de alguma forma?

b) Apesar de criar um snap-in AD personalizado usando mmc.exe para que a única UO a ser gerenciada esteja na raiz, fiquei surpreso ao ver que os usuários ainda tinham acesso de leitura a toda a estrutura de domínio do AD. Isso é por design ou minhas permissões deram errado em algum lugar?

Muito obrigado!

    
por chazjn 17.06.2013 / 23:29

3 respostas

4

a) In order for the users to be able to perform these actions from their workstations, is there any other method other than installing the Remote Server and Administration Tools? Could I install only the 'Active Directory Users and Computers' snap-in somehow?

O ADUC faz parte do RSAT. Eles precisam ser instalados a menos que desejem usar os comandos commandline net use , o que não seria muito eficiente.

b) Despite creating a custom AD snap-in using mmc.exe so the single OU to be managed is at the root, I was surprised to see that users still had read-access to the whole AD domain structure. Is this by design or have my permissions gone awry somewhere?

Isso é normal e esperado. Quase nada é secreto em seu anúncio e não há realmente nenhuma razão para que seja na maioria dos casos. Mesmo que você não tenha instalado o ADUC para esses usuários (ou quaisquer usuários), eles ainda poderão coletar informações sobre seu domínio usando os cmdlets dsquery , net use ou Get-AD* PowerShell.

Não se preocupe, nada deu errado. É assim que deve ser.

    
por 18.06.2013 / 00:48
5

Usuários autenticados têm permissões de LEITURA (junto com algumas outras permissões) na raiz do domínio por design. Essas permissões são herdadas por todos os objetos-filhos no domínio (AFAIK) e estão relacionadas à operação do Active Directory, suas funções e seus objetos. Essas permissões não estão diretamente relacionadas à Delegação de Autoridade.

    
por 17.06.2013 / 23:36
0

Você está no caminho certo. Você não deve se preocupar com administradores delegados com acesso de leitura completo ao Active Directory, porque, na verdade, praticamente todos, ou seja, todos os usuários autenticados já têm acesso de leitura ao Active Directory, porque é um serviço de diretório acessível todos.

No que diz respeito aos administradores delegados têm acesso a toda a funcionalidade do ADUC / RSAT, mesmo que a funcionalidade possa existir, se eles não tiverem as permissões subjacentes para executar essas tarefas, eles não poderão executar essas tarefas e, portanto, eles não poderão fazer nada que não tenham acesso.

Então, tudo bem deixá-los usar o ADUC. Tudo o que você precisa garantir é que eles tenham apenas a menor quantidade de permissões que precisam no Active Directory para cumprir suas responsabilidades atribuídas.

    
por 03.10.2013 / 07:35