Active Directory, delegando o controle para classe específica

Navegue suas respostas
2

Existem objetos no meu AD que possuem objectClass definido como dispositivo e gostaria de delegar controle a usuários não administradores para que eles possam adicionar novos objetos e excluir objetos existentes com objectClass definido como dispositivo, mas não outros objetos que têm usuário, computador ou grupo objectClass.

Estou usando a classe de dispositivo, porque essa classe tem o atributo macAddress. Novos objetos são criados com o comando New-ADObject 

New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"}

Pelo que vejo, o assistente de controle de delegação ou o editor de ACL não oferecem um controle tão refinado, no qual eu possa selecionar a objectClass personalizada para a qual as propriedades de segurança devem ser editadas.

    
por svakak 08.01.2014 / 17:12

1 resposta

1

O sistema de permissões no Active Directory pode definitivamente fazer o que você deseja. Apenas como um teste, eu configurei a permissão que você está procurando usando ADSIEDIT:

  • Navegue até a UO "Device Test", exiba as propriedades e a caixa de diálogo de segurança "Avançado"

  • Adicionado o grupo "Grupo de administração de dispositivos de teste", aplicando a "Este objeto e todos os objetos filhos", concedendo a permissão "Permitir" em "Criar objetos de dispositivo" e "Excluir objetos de dispositivo"

  • Adicionada uma segunda entrada de controle de acesso (ACE) referenciando o grupo "Grupo de administração de dispositivos de teste", aplicando a "objetos de dispositivo", concedendo a permissão "Controle total" (que, sem dúvida, pode ser muito pesada para o que você está procurando, mas fez um teste rápido

por 08.01.2014 / 19:08

Tags

Para o EC2 e o RackSpace Cloud: Existe um equivalente no Windows do tempo de roubo da CPU do Unix? Como o Windows Server 2008 gera uma lista de servidores de licenciamento conhecidos e como especificar o servidor de licenças por meio de script?