Comments 7
Спасибо! Дмитрий, напишите еще о том как делегировать права на создание учетных_записей+почтовых_ящиков (Exchange)
Для полного раскрытия темы стоит упомянуть AdminSDHolder, который умеет «срывать» делегированные права и «ломать» их наследование.
А также про редактирование delegwiz.inf, которое может упростить выполнение типовых операций делегирования.
А также про редактирование delegwiz.inf, которое может упростить выполнение типовых операций делегирования.
В принципе, если данная тема будет интересна многим, можно будет сделать большой обучающий вебкаст, где я мог бы в более подробной форме показать, какие есть методы при использовании штатных средств, сторонних утилит, как можно скрыть от пользователей из конкретных групп определенные подразделения Active Directory и многое другое…
Данная тема в первую очередь интересна начинающим администраторам Acrive Directory, а поломанное SDPROP'ом наследование дескрипторов безопасности — та ещё ловушка — я сам на этом не раз прокалывался. Плюс есть несколько тонких моментов:
Данный «квест» обычно занимает у людей с ним никогда не сталкивающихся не один час.
P.S. В синтаксисе правила dsacls мог немного ошибиться — пишу по-памяти и нет под рукой DC, чтобы проверить. Но на суть особенности с наследованием это не влияет.
- В домене contoso.com y вас есть группа peronal, которой вы хотите делегировать возможность правки определённого атрибута у ВСЕХ пользователей (например кадровикам дать право заполнять подразделение (department) сотрудника)
- Вы делегируете полномочия этой группе права на аттрибут department у всех объектов пользователей от корня домена (буду приводить примеры для dsacls — он мне больше нравится):
dsacls "dc=contoso,dc=com" /A /I:S /G "CONTOSO\personal;RPWP;department;user"
("/I:T" задать не получится, потому как объект «dc=contoso,dc=com» не user, а в правиле доступа явно сказано, что оно для объекта user) - Через время вам звонят из персонала и жалуются, что не могут обновить название вашего подразделения.
- Вы вспоминаете про AdminADHolder и выполняете:
dsacls "cn=AdminSDHolder,cn=System,dc=contoso,dc=com" /A /I:S /G "CONTOSO\personal;RPWP;department;user" - И опять у персонала не хватает прав на обновление атрибута department на вашей учётной записи. Ведь списке контроля доступа вы задали наследование «на все дочерние объекты». Правило было скопировано на ваш объект пользователя и применяется… к дочерним объектам вашего объекта пользователя
- Разгадав эту загадку, вы исправляете ситуацию:
dsacls "cn=AdminSDHolder,cn=System,dc=contoso,dc=com" /A /I:T /G "CONTOSO\personal;RPWP;department;user" - И тут опять звонят из персонала — у них та же проблема, но уже с Василием П., перешедшим недавно из администраторов в программисты (и лишённым недавно прав администратора домена)
- Тут вы для себя находите некоторое множество учётных записей со сломанным наследованием, которые вам достались от коллег/предшественников.
Данный «квест» обычно занимает у людей с ним никогда не сталкивающихся не один час.
P.S. В синтаксисе правила dsacls мог немного ошибиться — пишу по-памяти и нет под рукой DC, чтобы проверить. Но на суть особенности с наследованием это не влияет.
UFO just landed and posted this here
Мне кажется во 2 пункте в начале про GPMC незаконченное действие.
Sign up to leave a comment.
Делегирование административных задач в Active Directory