Ủy quyền quyền quản trị trong Active Directory

Trong bài viết này, chúng ta sẽ xem xét cách ủy quyền quyền quản trị trong miền Active Directory. Ủy quyền cho phép bạn cấp quyền thực hiện một số tác vụ quản lý AD cho người dùng miền chung (không phải quản trị viên) mà không làm cho họ trở thành thành viên của nhóm miền đặc quyền, như Quản trị viên miền, Người điều hành tài khoản, v.v. Ví dụ:bạn có thể sử dụng ủy quyền để cấp cho một nhóm bảo mật AD nhất định (ví dụ, Bộ phận trợ giúp) quyền để thêm người dùng vào nhóm, tạo người dùng mới trong AD và đặt lại mật khẩu tài khoản.

Hiểu các quyền được ủy quyền của Active Directory

Để ủy quyền quyền trong AD, Trình hướng dẫn kiểm soát ủy quyền trong Người dùng Active Directory và Máy tính (DSA.msc) được sử dụng.

Bạn có thể ủy quyền các đặc quyền quản trị trong AD ở cấp độ khá chi tiết. Bạn có thể cấp cho một nhóm quyền đặt lại mật khẩu trong đơn vị tổ chức, một quyền khác - để tạo và xóa tài khoản người dùng và quyền thứ ba - để tạo và thay đổi tư cách thành viên nhóm. Bạn có thể định cấu hình kế thừa quyền trên các đơn vị tổ chức được lồng vào nhau. Quyền có thể được ủy quyền trong Active Directory ở các cấp độ sau:

• Trang web quảng cáo;
• Toàn bộ miền;
• Một đơn vị tổ chức cụ thể (OU) trong Active Directory;
• Một đối tượng AD cụ thể.

Các phương pháp hay nhất để kiểm soát ủy quyền trong Active Directory:

• Bạn không nên ủy quyền (chỉ định) quyền trực tiếp cho các tài khoản người dùng cụ thể. Thay vào đó, hãy tạo một nhóm bảo mật mới trong AD, thêm người dùng vào đó và ủy quyền các quyền trên đơn vị tổ chức cho nhóm đó. Nếu bạn muốn cấp các quyền tương tự cho người dùng khác, bạn có thể chỉ cần thêm người đó vào nhóm bảo mật này;
• Tránh sử dụng Quyền từ chối, vì chúng được ưu tiên hơn những quyền được phép;
• Định kỳ kiểm tra các quyền được ủy quyền trong miền (có thể tạo báo cáo với danh sách các quyền hiện tại cho mỗi đơn vị tổ chức bằng PowerShell);
• Không cấp cho bất kỳ ai quyền quản lý OU bằng tài khoản quản trị viên. Nếu không, bất kỳ nhân viên hỗ trợ nào cũng có thể đặt lại mật khẩu quản trị viên miền. Tất cả người dùng và nhóm có đặc quyền phải được đưa vào một đơn vị tổ chức riêng biệt không tuân theo quy tắc ủy quyền.

Ủy quyền Đặt lại mật khẩu và Mở khóa Quyền tài khoản trong AD

Hãy tưởng tượng rằng nhiệm vụ của bạn là cấp cho nhóm HelpDesk quyền đặt lại mật khẩu và mở khóa tài khoản người dùng trong miền. Hãy tạo một nhóm bảo mật mới trong AD bằng PowerShell:

New-ADGroup "HelpDesk" -path 'OU=Groups,OU=Paris,OU=Fr,dc=woshub,DC=com' -GroupScope Global

Thêm người dùng bạn muốn vào nhóm này:

Add-AdGroupMember -Identity HelpDesk -Members rdroz, jdupont

Chạy phần đính vào mmc của Người dùng và Máy tính Active Directory (dsa.msc ), nhấp chuột phải vào đơn vị tổ chức có người dùng (trong ví dụ của chúng tôi là 'OU =Users, OU =Paris, OU =Fr, dc =woshub, DC =com') và chọn Điều khiển ủy quyền mục menu .

Chọn nhóm bạn muốn cấp đặc quyền quản trị.

Chọn một trong các tập hợp đặc quyền được định cấu hình trước (Ủy quyền các tác vụ phổ biến sau):

• Tạo, xóa và quản lý tài khoản người dùng;
• Đặt lại mật khẩu người dùng và buộc thay đổi mật khẩu ở lần đăng nhập tiếp theo;
• Đọc tất cả thông tin người dùng;
• Tạo, xóa và quản lý nhóm;
• Sửa đổi tư cách thành viên của một nhóm;
• Quản lý các liên kết Chính sách Nhóm;
• Tạo Bộ Chính sách Kết quả (Lập kế hoạch);
• Tạo Bộ Chính sách Kết quả (Ghi nhật ký);
• Tạo, xóa và quản lý tài khoản inetOrgPerson;
• Đặt lại mật khẩu inetOrgPerson và buộc thay đổi mật khẩu ở lần đăng nhập tiếp theo;
• Đọc tất cả thông tin inetOrgPerson.

Hoặc tạo một nhiệm vụ tùy chỉnh để ủy quyền . Tôi chọn tùy chọn thứ hai.

Chọn loại đối tượng AD mà bạn muốn cấp quyền quản trị. Vì chúng tôi muốn cấp quyền kiểm soát tài khoản người dùng, hãy chọn Đối tượng người dùng mục. Nếu bạn muốn cấp quyền để tạo hoặc xóa người dùng trong đơn vị tổ chức, hãy chọn các tùy chọn Tạo / Xóa các đối tượng đã chọn trong thư mục này . Trong ví dụ của chúng tôi, chúng tôi không cấp các đặc quyền như vậy.

Trong danh sách các quyền, hãy chọn những quyền bạn muốn ủy quyền. Trong ví dụ của chúng tôi, chúng tôi sẽ chọn các đặc quyền để mở khóa tài khoản người dùng ( Đọc lockoutTime và Viết thời gian khóa tài khoản ) và để đặt lại mật khẩu ( Đặt lại mật khẩu ).

Nhấp vào Tiếp theo và xác nhận việc ủy ​​quyền các quyền đã chọn trên màn hình cuối cùng.

Bây giờ, trong tài khoản người dùng từ nhóm HelpDesk, hãy thử đặt lại mật khẩu của người dùng từ đơn vị tổ chức đích bằng PowerShell:

Set-ADAccountPassword gchaufourier -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “P@ssdr0w1” -Force -Verbose) –PassThru

Mật khẩu sẽ được đặt lại thành công (nếu nó phù hợp với chính sách mật khẩu miền).

Bây giờ hãy thử tạo một người dùng trong đơn vị tổ chức này bằng lệnh ghép ngắn New-ADUser:

New-ADUser -Name gmicheaux -Path 'OU=Users,OU=Paris,OU=FR,DC=woshub,DC=com' -Enabled $true

Lỗi bị từ chối truy cập sẽ xuất hiện vì bạn chưa ủy quyền quyền tạo tài khoản AD mới.

Bạn có thể sử dụng nhật ký bảo mật của bộ điều khiển miền để kiểm tra hành động của người dùng mà bạn đã ủy quyền quyền quản trị. Ví dụ:bạn có thể theo dõi ai đặt lại mật khẩu người dùng trong miền, ai đã tạo tài khoản người dùng trong AD hoặc theo dõi các thay đổi trong các nhóm AD nhạy cảm.

Ủy quyền Quyền tham gia Máy tính vào Miền AD

Theo mặc định, bất kỳ người dùng miền nào cũng có thể tham gia tối đa 10 máy tính vào miền. Khi thêm phần thứ 11 máy tính, một lỗi sẽ xuất hiện:

Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.

Bạn có thể thay đổi hạn chế này ở cấp độ toàn miền bằng cách tăng giá trị của ms-DS-MachineAccountQuota thuộc tính. Hoặc (chính xác và an toàn hơn) bằng cách cấp quyền tham gia các máy tính vào một đơn vị tổ chức nhất định cho một nhóm người dùng cụ thể (bộ phận trợ giúp). Để thực hiện việc này, hãy ủy quyền quyền tạo đối tượng của Đối tượng máy tính thể loại. Trong Trình hướng dẫn Ủy quyền Điều khiển, chọn Tạo các đối tượng đã chọn trong thư mục này .

Chọn Tạo tất cả các đối tượng con trong phần Quyền.

Nếu bạn muốn ủy quyền quyền di chuyển các đối tượng giữa các Đơn vị tổ chức trong AD, bạn phải cấp các quyền sau:Xóa đối tượng Người dùng, Viết Tên phân biệt, Viết tên (**), Tạo đối tượng Người dùng (hoặc Máy tính).

Làm cách nào để xem và xóa các quyền được ủy quyền trong Active Directory?

Bất kỳ số lượng quy tắc ủy quyền nào cũng có thể được chỉ định cho một đơn vị tổ chức trong AD. Bạn có thể nhận danh sách các nhóm và các quyền được ủy quyền cho họ trong các thuộc tính của đơn vị tổ chức trong bảng điều khiển ADUC. Đi tới Bảo mật tab.

Phần này chứa danh sách các đối tượng AD đã được cấp quyền cho vùng chứa này. Bạn có thể xem danh sách các quyền được cấp trên Nâng cao chuyển hướng. Như bạn có thể thấy, nhóm HelpDesk được phép đặt lại mật khẩu.

Bạn có thể thu hồi một nhóm quyền quản trị cụ thể đã được chỉ định trước đó thông qua ủy quyền. Tìm tên của nhóm mà bạn đã ủy quyền quyền và nhấp vào Xóa .

Ngoài ra, trên Bảo mật -> Nâng cao bạn có thể chỉ định thủ công các quyền được ủy quyền cho các nhóm bảo mật khác nhau.

Cách ủy quyền quyền trong Active Directory với PowerShell?

Bạn có thể nhận danh sách các quyền được ủy quyền cho OU hoặc thay đổi các quyền hiện tại bằng PowerShell. Get-ACL và Set-ACL các lệnh ghép ngắn được sử dụng để xem và thay đổi các quyền trong Active Directory (các lệnh ghép ngắn PowerShell tương tự được sử dụng để quản lý các quyền NTFS trên các tệp và thư mục).

Tập lệnh đơn giản sau sẽ liệt kê tất cả các quyền không theo tiêu chuẩn được ủy quyền cho một đơn vị tổ chức cụ thể trong AD:

# get the OU
$OUs = Get-ADOrganizationalUnit -Filter 'DistinguishedName -eq "OU=Users,OU=Paris,DC=woshub,DC=com"'| Select-Object -ExpandProperty DistinguishedName
$schemaIDGUID = @{}
$ErrorActionPreference = 'SilentlyContinue'
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties name, schemaIDGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}
Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}
$ErrorActionPreference = 'Continue'
ForEach ($OU in $OUs) {
$report += Get-Acl -Path "AD:\$OU" |
Select-Object -ExpandProperty Access |
Select-Object @{name='organizationalUnit';expression={$OU}}, `
@{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `
@{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `
*
}
# report with assigned OU permissions

Bạn có thể nhận báo cáo quyền được ủy quyền bằng lệnh ghép ngắn Out-GridView đồ họa:

$report| where {($_.IdentityReference -notlike "*BUILTIN*") -and ($_.IdentityReference -notlike "*NT AUTHORITY*") }| Out-GridView

Hoặc xuất danh sách các quyền sang tệp CSV để phân tích thêm trong Excel (bạn có thể ghi dữ liệu trực tiếp vào tệp Excel từ tập lệnh PowerShell):
$report | Export-Csv -Path "C:\reports\AD_OU_Permissions.csv" –NoTypeInformation

Báo cáo kết quả cho thấy rằng nhóm HelpDesk đã được cấp quyền đặt lại mật khẩu người dùng (ObjectTypeName =User-Force-Change-Password) trong đơn vị tổ chức.

Bạn có thể sử dụng dsacls công cụ để phân quyền cho đơn vị tổ chức. Ví dụ:

dsacls "ou=users,ou=paris,dc=woshub,dc=com" /I:S /G "WOSHUB\HELPDESK:CA;Reset Password;user" "WOSHUB\HELPDESK:WP;pwdLastSet;user" "WOSHUB\HELPDESK:WP;lockoutTime;user

Bạn cũng có thể chỉ định quyền cho vùng chứa Đơn vị tổ chức bằng PowerShell (trong ví dụ này, quyền đặt lại mật khẩu được ủy quyền):

$ou = "AD:\OU=users,OU=Paris,DC=woshub,DC=com"
$group = Get-ADGroup helpdesk
$sid = new-object System.Security.Principal.SecurityIdentifier $group.SID
$ResetPassword = [GUID]"00299570-246d-11d0-a768-00aa006e0529"
$UserObjectType = "bf967aba-0de6-11d0-a285-00aa003049e2"
$ACL = get-acl $OU
$RuleResetPassword = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ($sid, "ExtendedRight", "Allow", $ResetPassword, "Descendents", $UserObjectType)
$ACL.AddAccessRule($RuleResetPassword)
Set-Acl -Path $OU -AclObject $ACL

Tương tự, bạn có thể ủy quyền các quyền khác cho vùng chứa tổ chức AD bằng PowerShell.