Ограниченный доступ к контроллеру домена для администрирования Active Directory
Я должен предоставить группу Jr. Системные администраторы ограничили доступ к контроллеру домена с целью ограниченного администрирования пользователей и групп Active Directory (т. Е. Создание пользователей, сброс пароля и т. Д.). Я реализовал делегирование, чтобы ограничить объем задач, которые младшие системные администраторы могут выполнять в Active Directory. Справочник. Некоторые из этих пользователей используют macOS, поэтому использование инструментов удаленного администрирования сервера, подобных тем, которые можно использовать на компьютере с Windows, не подходит для них.
Таким образом, я хотел бы предоставить им доступ по протоколу RDP к контроллеру домена. Я бы хотел, чтобы они могли открывать «Пользователи и компьютеры Active Directory» (без запроса учетных данных администратора), но максимально ограничили их доступ к остальной части системы. Примечание: мне может потребоваться предоставить им доступ к нескольким другим элементам для выполнения других связанных должностных обязанностей.
- Как лучше всего добиться этого?
- Если наложение ограничений с помощью групповой политики - лучший метод, каков наиболее эффективный способ создания политики, которая бы достигла поставленной мной цели?
Похоже, ваша основная проблема заключается в безопасном предоставлении пользователю доступа к инструменту «Пользователи и компьютеры Active Directory», который на контроллере домена (и только на контроллере домена) запрашивает Повышение уровня UAC при попытке его запустить. Я считаю, что это ошибка или непреднамеренная функция в Windows, по-видимому, вызванная членством в локальной группе домена "Pre-Windows 2000 Compatible Access Alias", что привело к разделению токена во время входа в систему.
Таким образом, одним из возможных решений было бы изменение членство в этой группе, но я не уверен, каковы могут быть побочные эффекты. Поэтому вместо этого я рекомендую отключить повышение UAC , как описано в этом ответе , то есть установив для переменной среды __ compat_layer значение RunAsInvoker для рассматриваемых пользователей.
Это заставляет Windows игнорировать тот факт, что mmc.exe настроен на запрос повышения прав, если у пользователя есть разделенный токен, и просто запускает его без повышенных привилегий.
Обратите внимание, что имя переменной начинается с двух подчеркивания, а не только один.
РЕДАКТИРОВАТЬ: установка переменной среды через групповую политику не работает; Похоже, что для имен переменных среды, начинающихся с подчеркивания, существует какая-то особая обработка. Вам понадобится приложение или скрипт, чтобы установить его.
Или вы можете отключить UAC, хотя я не уверен, какие побочные эффекты это может иметь.
Я считаю, что смог достичь желаемых результатов с помощью комбинации конфигураций .
- Создано организационное подразделение для «Администраторов AD с ограниченными правами»
- Создано первое подразделение пользователя в подразделе с указанным выше заголовком.
- В моем подразделении «Пользователи компании» я делегировал доступ учетной записи пользователя для: создания, удаления, управления учетными записями пользователей сбросить пароли, прочитать всю информацию о пользователе.
- В моем подразделении «Группы компаний» я делегировал доступ учетной записи пользователя для: изменения членства в группе.
- На контроллере домена, в локальной политике безопасности> Управление правами пользователей> Разрешить вход через службы удаленного рабочего стола: добавлена учетная запись пользователя.
- Добавлен пользователь во встроенную группу «Операторы резервного копирования». Это обеспечивает достаточные привилегии для открытия пользователей и компьютеров Active Directory.
- Создал объект групповой политики и связал его с подразделением «Ограниченные администраторы AD» со следующими ограничениями:
Запускать только указанные приложения Windows: dsa.msc, mmc.exe
Запретить доступ к командной строке
Запретить доступ к инструментам редактирования реестра
Удалить и запретить доступ к командам Shut Down, Restart, Sleep и Hibernate