Controle de grupo de segurança do Active Directory

Navegue suas respostas
1

Eu estou em uma grande organização com vários domínios em uma floresta e muitas UOs em cada domínio. O domínio administra a administração delegada das UOs ao pessoal de TI que trabalha na UO. Eu sou uma dessas pessoas de TI. Posso criar e excluir sub-unidades organizacionais em nossa unidade organizacional, e temos a capacidade de gerenciar os GPOs que se aplicam a nós. Nós separamos geograficamente os grupos que criamos sub-UOs separadas e delegamos a capacidade de gerenciar essas UOs para o pessoal de lá.

Em um desses sites, temos um grupo com controle total da OU em que estão, mas não podemos modificar nenhum grupo criado por eles. Por exemplo, se eu quiser adicionar uma conta a um grupo na UO, não tenho essa capacidade, mesmo que tenha controle total da UO em que se encontra. Percebo que o grupo de segurança tem uma lista de ACEs na segurança guia e eu não tenho permissões lá.

Existe uma maneira de eu forçar um grupo de minha escolha a ser adicionado à lista ACE em todos os grupos de segurança sob nossa UO?

    
por user3271408 05.10.2017 / 18:02

2 respostas

0

Você pode delegar um grupo de sua permissão de "membros de leitura / gravação" na guia de propriedades da segurança avançada de OU de nível superior para "Objetos de Grupo Decenante". Isso herdará todos os objetos de grupo em todas as UOs abaixo desse nível e permitirá que os membros do seu grupo alterem a associação ao grupo.

Seu próximo problema é verificar se a herança está ativada em todos os objetos de grupo.

O que você realmente precisa é de um modelo de delegação claramente definido para o Active Directory. A padronização da estrutura da UO é importante para a implementação desse modelo de delegação. As coisas podem ficar muito confusas muito rapidamente no AD quando você passa a adicionar permissões únicas como essa. Como prática recomendada, as permissões do AD devem ser bloqueadas, padronizadas e somente delegadas a grupos de segurança.

    
por 06.10.2017 / 17:22
0

No seu snipplet do Usuário e do Computador do Active Directory, primeiro selecione para mostrar o recurso avançado.

Depois disso, clique com o botão direito do mouse no grupo que você deseja alterar o ACE e depois é como o NTFS ACE. No mínimo, você pode selecionar para propagar a segurança pai, como você não tem acesso, eu acho que a segurança dos pais não se aplicou a ela.

    
por 06.10.2017 / 12:59

Tags

RHEL6: o httpd não pode ligar à porta É possível usar o balanceador de carga apenas no início da solicitação?