Permitir que membros de um grupo sejam desbloqueados por uma conta específica no AD

3

Plano de fundo

Estou criando um serviço para permitir que a equipe de suporte ative suas contas fora do expediente (ou seja, se houver um problema durante a noite e não conseguirmos acesso a alguém com direitos de administrador, outro membro da equipe de suporte pode habilitar sua conta pessoal do firecall no AD, que já foi configurado com direitos de administrador). Esse serviço também registra um motivo para a alteração, alerta pessoas-chave e vários outros bits para garantir que essa alteração de acesso seja auditada / portanto, podemos garantir que esses direitos temporários de administrador sejam usados da maneira correta.

Para fazer isso, preciso da conta de serviço na qual meu serviço é executado para ter permissões para habilitar usuários no diretório ativo. Idealmente, gostaria de bloquear isso para que a conta de serviço só possa ativar / desativar usuários em um determinado grupo de segurança do AD.

Pergunta

Como você concede acesso a uma conta para habilitar / desabilitar usuários que são membros de um determinado grupo de segurança no AD?

Pergunta de backup

Se não for possível fazer isso por grupo de segurança, existe uma alternativa adequada? isto é, poderia ser feito pela OU, ou seria melhor escrever um script para percorrer todos os membros do grupo de segurança e atualizar as permissões sobre os objetos (contas de chamada)?

Obrigado antecipadamente.

Tags adicionais

(Ainda não tenho acesso para criar novas tags aqui, portanto, listar abaixo para ajudar nas pesquisas de palavras-chave até que elas possam ser marcadas e editadas / removidas) DSACLS, DSACLS.EXE, FIRECALL, CONTA, GRUPO DE SEGURANÇA

    
por JohnLBevan 18.10.2012 / 18:59

3 respostas

5

A permissão para modificar as propriedades dos objetos do Active Directory (AD) é controlada pelas Access Control Lists (ACLs). As ACLs são aplicadas a objetos explicitamente (sem herança) ou implicitamente por herança do contêiner (OU ou objeto Container) em que o objeto está localizado.

Delegar controle de atributos a um usuário ou grupo (você deve quase sempre delegar permissões a grupos, como um aparte) nada mais é do que alterar permissões em objetos contêineres (mais comumente) ou objetos individuais não contêineres (como contas de usuário e contas de computador - embora, tecnicamente, eles sejam objetos contêineres

.

As ACLs não são aplicadas a objetos com base na associação do grupo de segurança dos objetos, que é o que você afirma que está procurando.

Sua melhor opção é organizar as contas de usuário para as quais você deseja delegar o controle em uma UO e delegar o controle sobre essa UO. Se isso não for viável, você está bloqueando as ACLs em cada conta de usuário individualmente.

    
por 19.10.2012 / 05:11
2

A maioria dos softwares de gerenciamento de identidade e acesso de terceiros pode lidar com esse tipo de controle de acesso concluindo a solicitação em nome do usuário, geralmente usando uma credencial de administrador de domínio (mas sempre pode ser bloqueada).

Infelizmente, o próprio Windows não pode fazer isso: a associação ao grupo no AD está sendo listada na lista de membros do grupo (o atributo member do grupo, usado para gerar o atributo memberOf constructed) e não tem significado estrutural no diretório (lembre-se que o AD é basicamente apenas LDAP). Por outro lado, as permissões no AD são definidas estruturalmente, para que você possa conceder permissões específicas às contas em subárvores (como um domínio, unidade organizacional ou usuário individual) de acordo com a hierarquia que os grupos não definem. A estrutura é baseada em domínios e unidades organizacionais, de forma semelhante a qualquer outra árvore LDAP. Se algo não aparecer no DN (nome diferenciado) do usuário, ele não poderá ser usado para controlar as permissões de diretório.

    
por 19.10.2012 / 07:12
0

Delegação. Você precisa delegar permissão de gravação ao atributo userAccountControl para o objeto.

Esta delegação pode ser aplicada a membros de um grupo de segurança.

    
por 19.10.2012 / 04:52