Acesso limitado ao controlador de domínio para a administração do Active Directory

Navegue suas respostas
1

Eu tenho que fornecer um acesso limitado do grupo Jr. Sys Admins a um controlador de domínio com a finalidade de administração limitada de usuários e grupos do Active Directory (ou seja, criação de usuário, redefinição de senha etc.). Implementei delegação para limitar o escopo tarefas que o Jr. Sys Admins pode executar no Active Directory. Alguns desses usuários usam o macOS, portanto, usar as Ferramentas de Administração de Servidor Remoto como uma que pode ser usada em uma máquina Windows não é uma opção para elas.

Como tal, gostaria de lhes dar acesso RDP a um controlador de domínio. Eu gostaria que eles pudessem abrir Usuários e Computadores do Active Directory (sem solicitar credenciais de administrador), mas limitar o acesso deles ao restante do sistema o máximo possível. Nota: posso precisar dar a eles acesso a alguns outros itens para outras responsabilidades de trabalho relacionadas.

  • Qual é a melhor maneira de conseguir isso?
  • Se impor restrições por meio da Diretiva de Grupo for o melhor método, qual é a maneira mais eficiente de construir uma diretiva que realize o meu objetivo declarado?
por sardean 07.06.2018 / 00:55

2 respostas

0

Acredito que consegui alcançar os resultados desejados através de uma combinação de configurações.

  1. UO criada para "Administradores AD limitados"
  2. Criou uma primeira conta de usuário na OU acima legendada
  3. Na OU de "Usuários da empresa", deleguei acesso à conta de usuário para: criar, excluir, gerenciar contas de usuários, redefinir senhas, ler todas as informações do usuário.
  4. Na OU "Grupos de empresas", deleguei acesso à conta de usuário para: modificar a associação de um grupo.
  5. No controlador de domínio, na Política de segurança local > Gerenciamento de direitos do usuário > Permitir logon pelos Serviços de Área de Trabalho Remota: adicionou a conta de usuário.
  6. Adicionado o usuário ao grupo interno "Operadores de backup". Isso fornece privilégios suficientes para abrir Usuários e Computadores do Active Directory.
  7. Criou um GPO e vinculou-o à unidade organizacional "Administradores de AD limitados" com as seguintes restrições:

Execute apenas aplicativos do Windows especificados: dsa.msc, mmc.exe

Impede o acesso ao prompt de comando

Impedir acesso a ferramentas de edição do registro

Remova e impeça o acesso aos comandos Desligar, Reiniciar, Suspender e Hibernar

    
por 08.06.2018 / 18:48
0

Parece que seu principal problema é dar ao usuário acesso seguro à ferramenta Usuários e Computadores do Active Directory, que em um Controlador de Domínio (e somente em um Controlador de Domínio) solicita a elevação do UAC quando você tenta executá-lo. Acredito que isso seja um bug ou um recurso não intencional no Windows, aparentemente causado pela associação ao grupo local de domínio "Alias de acesso compatível anterior ao Windows 2000", resultando em um token dividido durante o logon.

Portanto, uma solução possível seria alterar a associação desse grupo, mas não tenho certeza de quais podem ser os efeitos colaterais. Então, em vez disso, eu recomendo desabilitar a elevação do UAC conforme descrito nesta resposta , ou seja, definindo a variável de ambiente __compat_layer to RunAsInvoker para os usuários em questão.

Isso faz com que o Windows ignore o fato de que mmc.exe está configurado para solicitar elevação se o usuário tiver um token dividido e apenas executá-lo sem privilégios elevados.

Observe que o nome da variável começa com dois sublinhados, não apenas um.

EDIT: configurar a variável de ambiente através da Diretiva de Grupo não funciona; Parece que há algum tipo de tratamento especial para nomes de variáveis de ambiente que começam com um sublinhado. Você precisará de um aplicativo ou script para configurá-lo para você.

Ou você pode desativar o UAC, embora não tenha certeza de quais efeitos colaterais possam ter.

    
por 11.06.2018 / 02:41

Tags

Como rodar logs de consulta mySQL no Windows VirtualHost no Apache entrega página errada para o navegador (mas não para curl)