Como posso conceder permissões a uma conta para criar / modificar / excluir OU no Active Directory?

Navegue suas respostas
2

Tenho em conta e não pretendo conceder permissões de Administrador, apenas para criar OU, usuários e grupos. O problema é que o Operador de Contas não pode criar UO, como posso adicionar um grupo para essa finalidade? Ou posso alterar as permissões do grupo Operador de contas?

O domínio é feito com o Windows Server 2003.

    
por xabim 24.11.2009 / 14:40

3 respostas

6

Existem duas maneiras de realmente fazer isso.

  1. Como Acima, vá para o console Usuários e Computadores do Active Directory, crie uma UO logo abaixo do seu domínio que envolva todo o domínio e use o Assistente para Delegar Controle para fornecer as permissões aos usuários ou grupos conforme necessário. Essa ferramenta pode ser encontrada clicando com o botão direito do mouse na UO em questão. Por motivos de organização, geralmente é melhor criar um grupo e aninhar todos os usuários desse grupo que precisam administrar a UO e os grupos. Isso significa que você pode adicionar e remover usuários com essas permissões rapidamente, sem precisar alterar ainda mais sua distribuição básica.

  2. Entre no menu "Visualizar" em Usuários e Computadores do Active Directory e ative a opção "Recursos avançados". Em seguida, você pode clicar com o botão direito do mouse na UO do domínio base ou na unidade organizacional secundária criada conforme sugerido acima e acessar as propriedades. Com a Visualização Avançada em cada UO, ela terá sua própria guia de segurança agora. A partir daí, você pode ir para cada grupo de segurança e alterar granularmente as permissões dessas OUs com base em grupos ou usuários. Se você entrar na visão avançada em segurança, você pode dividir cada permissão em cada componente e alterá-las da maneira mais específica ou aberta que quiser.

por 24.11.2009 / 17:18
2

Você deve sempre tentar delegar tarefas no Active Directory com base no privilégio mínimo.

Para as tarefas que você deseja delegar, você só precisa conceder permissões Criar filhos - Objetos de usuário, Criar objetos de grupo filho e Criar unidade de criança.

Para fazer isso, será melhor criar uma UO imediatamente sob o objeto do seu domínio, criando um grupo ao qual delegar acesso e, em seguida, conceder as três permissões acima na UO usando as etapas descritas acima por Laranostz.

Depois de delegar essas tarefas, você também deve verificar suas delegações. Para mais informações sobre como verificar as delegações - link

Existe também uma ferramenta que pode ajudar a verificar as delegações chamadas "Gold Finger for AD". Ele foi projetado por um antigo especialista em segurança da Microsoft e acredito que também seja aprovado pela Microsoft.

Disclaimer: Eu não sou afiliado com o fornecedor da ferramenta acima mencionada. Eu usei a ferramenta e penso muito nela, então estou mencionando, porque é importante verificar as delegações.

    
por 17.11.2012 / 07:48
1

Dê uma olhada no recurso de delegação do diretório ativo. Gostaria de criar uma unidade organizacional no seu domínio e, em seguida, delegar a esse nível de unidade organizacional em vez de no nível do domínio. Isso manterá seu usuário bloqueado para criar apenas UOs dentro dessa UO. Eu acredito que você terá que ir para a parte de permissões avançadas do assistente de delegação.

    
por 24.11.2009 / 15:00

Tags

quão diferentes são o Ubuntu e o Debian (geralmente) para servidores? Hospedagem no nível corporativo canadense