Miten delegoida salasanan palautusoikeudet IT-henkilöstölle - Miten

Miten delegoida salasanan palautusoikeudet IT-henkilöstölle

Yksi Active Directoryn vahvuuksista tai ainakin sen hallintaosasta on kyky siirtää käyttöoikeuksia muokata hakemiston eri osia pienemmälle etuoikeutetulle käyttäjälle.

Tätä varten monet IT-kaupat antavat mahdollisuuden palauttaa käyttäjän salasanat tukipisteisiin tai johtajiin tietyillä osastoilla.

Seuraavassa kuvataan, miten voit määrittää valtuudet ryhmälle käyttäjille, jotta he voivat määrittää salasanoja toisen OU: n käyttäjien osajoukolle.

Jos sinulla ei ole OU-rakennetta, joka on jonkin verran siisti (ts. Käyttäjät eivät ole järjestäneet loogista rakennetta), sinulla saattaa olla ongelmia määritelläksesi miten tämä toteutetaan oikein.

Ehdotan, että tarkastelet OU: n ulkoasua ja määrität, mikä toimii parhaiten sinulle.

6 vaihetta yhteensä

Vaihe 1: Varmista, että sinulla on AD-käyttäjien konsoli


Voit tarkistaa järjestelmänvalvontatyökalujen ryhmän Windowsin Käynnistä-valikosta selvittääksesi, onko kuvakkeella merkitty 'Active Directory -käyttäjät ja tietokoneet'. Jos näin on, siirry seuraavaan vaiheeseen.

Tämä on suositeltavaa tehdä työasemalta, joten etsi tietty RSAT-työkalujen joukko täältä: https://wiki.samba.org/index.php/Installing_RSAT

*** Ymmärrän, että tämä on Samba-sivusto, mutta ne pitävät mukavaa, päivitettyä ja konsolidoitua luetteloa Microsoftin sijaan!

Voit halutessasi myös suorittaa nämä vaiheet verkkotunnuksen ohjaimesta.

Vaihe 2: Käynnistä ohjaustoiminnon lähetystoiminto, valitse käyttäjä tai ryhmä, jolle haluat siirtää

Avaa ADUC, etsi verkkotunnuksesi ja selaa ylimmälle tasolle, johon haluat käyttää käyttöoikeuksia (esimerkiksi "Verkkotunnuksen käyttäjät" työpaikallani), napsauta hiiren kakkospainikkeella> 'Delegate Control'.

Valitse Tervetuloa-valintaikkunassa Seuraava.

Napsauta Käyttäjät tai ryhmät -valintaikkunassa Lisää ... -painiketta. Sinua pyydetään lisäämään käyttäjä tai ryhmä, jolle käytät delegoituja oikeuksia.

Valitse Valitse käyttäjät, tietokoneet tai ryhmät -valintaikkunassa joko objektin nimi (käytä parhaan tuloksen käyttämiseksi toimialueen käyttäjätunnusta tai toimialueen nimeä) tai napsauta Lisäasetukset> Etsi. .

Kun olet valinnut resurssi (t), valitse Valitse käyttäjät, tietokoneet tai ryhmät -valintaikkunassa OK ja napsauta sitten Seuraava-painiketta Käyttäjät tai ryhmät -valintaikkunassa.

Vaihe 3: delegoi tehtäväsi (t)


Tehtävät delegoida -valintaikkunassa voit valita käyttäjille laajasta valikoimasta tehtäviä.

***** Jos haluat vain delegoida salasanan palautustoiminnon ****
Varmista, että 'Siirrä seuraavat yleiset tehtävät' -valintanappi on valittuna ja valitse 'Palauta käyttäjän salasanat ja pakota salasanan vaihtaminen sisäänkirjautumisen yhteydessä' ja napsauta Seuraava-painiketta.

Jatka vaiheeseen 4.

**** Jos haluat lisäksi siirtää mahdollisuuden ottaa käyttäjätilit käyttöön tai poistaa ne käytöstä ****
Valitse "Luo mukautettu tehtävä delegoida" -valintanappi ja napsauta Seuraava-painiketta.

Valitse "Vain seuraavat objektit kansiossa" -valintanappia ja valitse "Käyttäjäobjektit" ja napsauta "Seuraava" -painiketta.

Valitse "Käyttöoikeudet" -valintaikkunassa Yleiset ja Ominaisuuskohtaiset -valintaruudut ja tarkista seuraavat luvut seuraavassa luettelossa:

Vaihda salasana
Nollaa salasana
Lue userAccountControl
Kirjoita userAccountControl

Napsauta Seuraava-painiketta.

Vaihe 4: Ohjattu ohjauksen siirto loppuun


Kun olet lopettanut tehtävien delegoinnin, voit napsauttaa Valmis-painiketta Ohjattu lähetystoiminnon viimeistely -valintaikkunassa.

Nyt käyttäjät, joille olet siirtänyt nämä tehtävät, voivat pystyä palauttamaan salasanat (tai suorittamaan muita määrittelemiäsi toimintoja) OU: n kohteissa, joissa määrität delegoidut käyttöoikeudet.

Vaihe 5: Valinnainen: delegoitujen oikeuksien poistaminen

Virheellisesti sovellettujen oikeuksien poistaminen ei ole sama prosessi kuin niiden soveltaminen. Voit poistaa käyttöoikeudet napsauttamalla OU: ta hiiren kakkospainikkeella, jossa käytit valtuutettuja oikeuksia> 'Ominaisuudet'.Napsauta Suojaus-välilehteä.

Napsauta Lisäasetukset-painiketta.

Sinut tuodaan verkkotunnusten käyttäjien lisäasetusten suojausasetuksiin.

Etsi luvussa "Lupa-merkinnät" ryhmä tai käyttäjä, jolle olet siirtänyt käyttöoikeudet. Korosta kohde ja valitse sitten Poista. Jos käytit oikeuksiasi korkeammalla tasolla OU-rakenteessa, et pysty poistamaan niitä tästä tasosta rikkomatta turvarahastusta (jota en suosittele). Siirry OU-rakenteen toiseen tasoon ja tarkista käyttöoikeudet.

Vaihe 6: Valinnainen: estetään käyttäjien palauttamasta herkkien tilien salasanoja


Olen havainnut, että paras tapa tehdä tämä (toiset voivat kommentoida tätä!) On luoda OU: n alaisen OU: n alainen käyttöoikeus ja sitten kieltää nimenomaisesti käyttöoikeudet tällä tasolla ... käytämme Verkon ylläpitäjät esimerkkinä.

OU: n rakenteessani minulla on OU nimeltään 'IT', ja sitten luotin uuden OU: n, jonka nimi on "Verkonvalvojat".

Napsauta hiiren kakkospainikkeella 'Verkonvalvojat' OU: ta "Ominaisuudet" ja napsauta sitten Suojaus-välilehteä. Napsauta Lisäasetukset-painiketta ja kaksoisnapsauta resursseja, jotka siirrit käyttöoikeuksille.

Tämän jälkeen voit evätä valtuutetut käyttäjät kaikista salasanamuutoksista jne. Löytämällä asianmukaisen luvan 'Oikeudet' -luettelossa ja napsauttamalla jokaisen vastaavan "Poista" -valintaruutua.

Tässä esimerkissä verkkotunnusten ylläpitäjät säilyttävät edelleen mahdollisuuden muuttaa / palauttaa salasanoja verkonvalvojan tilillemme, mutta IT-tukiryhmä (esimerkissä) ei.

Käyttöoikeuksien delegoiminen on erittäin hyvä tapa antaa help deskille, esimiehille tai muille virrankäyttäjille apua tietyn IT-työvälineen avulla, joka voi kuluttaa päiväsi, mikä vaikeuttaa keskittymistä tärkeisiin tai muihin mielenkiintoisiin tehtäviin.