Active Directory-da ma'muriy vakolatlarni topshirish

Parollarni tiklash va hisoblarni blokdan chiqarish huquqlarini topshirish

bet	3/4
Sana	14.12.2022
Hajmi	361.07 Kb.
	#1004170

1 2 3 4

Bog'liq
8-ma\'ruza

Parollarni tiklash va hisoblarni blokdan chiqarish huquqlarini topshirish

Tasavvur qiling-a, bizning vazifamiz HelpDesk guruhiga parolni tiklash va domendagi foydalanuvchi hisoblarini ochish huquqini berishdir. Shunday qilib, keling , PowerShell yordamida ADda yangi guruh yarataylik :
New-ADGroup "HelpDesk" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global
Guruhga kerakli foydalanuvchilarni qo'shing:
Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb
Active Directory Users and Computers (ADUC) konsolini ishga tushiring, foydalanuvchilar bilan OU-ni sichqonchaning o'ng tugmasi bilan bosing (bizning misolimizda 'OU=Users,OU=Moscow,DC=corp,dc=winitpro,DC=ru') va tanlang. Delegat boshqaruvi menyu elementi.

Ma'muriy ruxsatnomalar bermoqchi bo'lgan guruhni tanlang.

school-xyz.com

Научим Вашу команду придумывать игры!

Научим Вашу команду придумывать игры, рисовать, программировать и создавать эффекты!

Узнать больше

Ro'yxatdan oldindan tuzilgan imtiyozlar to'plamidan birini tanlang (Quyidagi umumiy vazifalarni topshiring):

Foydalanuvchi hisoblarini yaratish, o'chirish va boshqarish;
Foydalanuvchi parollarini tiklash va keyingi tizimga kirishda parolni o'zgartirishga majbur qilish;
Barcha foydalanuvchi ma'lumotlarini o'qing;
Guruhlarni yaratish, oʻchirish va boshqarish;
Guruh a'zoligini o'zgartirish;
Guruh siyosati havolalarini boshqarish;
Natijalar to‘plamini yaratish (rejalashtirish);
Natijalar to‘plamini yaratish (jurnalga yozish);
inetOrgPerson hisoblarini yaratish, oʻchirish va boshqarish;
inetOrgPerson parollarini qayta o'rnating va keyingi tizimga kirishda parolni o'zgartirishga majbur qiling;
Barcha inetOrgPerson ma'lumotlarini o'qing.

Yoki o'zingizning delegatsiya topshirig'ingizni yarating (Delegatsiya qilish uchun maxsus topshiriq yarating). Men ikkinchi variantni tanlayman.

Huquqlarni bermoqchi bo'lgan AD ob'ektlari turini tanlang. Chunki foydalanuvchi hisoblariga huquqlar berishimiz kerak, Foydalanuvchi ob'ektini tanlang . Agar siz ushbu OUda foydalanuvchilarni yaratish va oʻchirish huquqini berishni istasangiz, ushbu jilddagi tanlangan obyektlarni yaratish/oʻchirish opsiyalarini tanlang . Bizning misolimizda biz bunday ruxsatlarni bermaymiz.

Ruxsatlar ro'yxatida siz topshirmoqchi bo'lgan imtiyozlarni tanlashingiz kerak. Bizning misolimizda biz qulfni ochish huquqini tanlaymiz ( LockoutTime-ni o'qing va lockoutTime - ni yozing ) va parolni qayta o'rnatamiz ( Parolni tiklash ).
Mijozlarga xizmat ko'rsatish orqali domendagi hisob blokirovkalari manbasini topish uchun siz qidiruv jurnallarini to'g'ridan-to'g'ri domen kontrollerlarida berishingiz kerak.

Keyingiga bosing va oxirgi ekranda tanlangan ruxsatnomalarni tayinlashni tasdiqlang.

Endi HelpDesk guruhidagi foydalanuvchi hisobi ostida PowerShell-dan OU foydalanuvchilaridan, masalan, PowerShell-dan foydalanuvchi parolini tiklashga harakat qiling:

Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa$$w0rd1” -Force -Verbose) –PassThru

Parol muvaffaqiyatli tiklanishi kerak (agar u domen parol siyosatiga mos kelsa ).
Endi New-ADUser cmdlet yordamida ushbu OUda foydalanuvchi yaratishga harakat qiling :
New-ADUser -Name kalininda -Path 'OU=Users,OU=Moscow,OU=winitpro,OU=DC=ru' -Enabled $true
Kirish xatosi paydo bo'lishi kerak, chunki. siz hisob yaratish vakolatini topshirmagansiz.

school-xyz.com

Научим Вашу команду придумывать игры!

4,3
Рейтинг организации

Узнать больше

Ma'muriy huquqlar berilgan foydalanuvchilarning harakatlarini kuzatish uchun siz domen tekshiruvi jurnallaridan foydalanishingiz mumkin. Masalan, siz domenda foydalanuvchi parolini kim qayta tiklaganini kuzatishingiz , ADda foydalanuvchi hisobini kim yaratganini aniqlashingiz yoki muayyan AD guruhlaridagi o'zgarishlarni kuzatishingiz mumkin .

school-xyz.com

Научим Вашу команду придумывать игры!

4,3
Рейтинг организации

Узнать больше

Kompyuterlarni AD domeniga qo'shish huquqini bering

Odatiy bo'lib, har qanday domen foydalanuvchisi domenga 10 ta kompyuterni qo'shishi mumkin. 11-kompyuterni domenga qo'shganda xato paydo bo'ladi:
Kompyuteringizni domenga qo‘shib bo‘lmadi. Siz ushbu domenda yaratishga ruxsat berilgan kompyuter hisoblari sonidan oshib ketdingiz. Ushbu cheklovni tiklash yoki oshirish uchun tizim administratoringizga murojaat qiling.

Ushbu domen chegarasini ms-DS-MachineAccountQuota atributidagi qiymatni oshirish orqali o'zgartirishingiz mumkin ( havola ). Yoki (aniqroq va xavfsizroq) ma'lum bir OUdagi domenga kompyuterlarni qo'shish huquqini ma'lum bir foydalanuvchi guruhiga (yordam stoli) topshirish orqali. Buning uchun siz turdagi ob'ektlarni yaratish huquqini berishingiz kerak ( Kompyuter ob'ektlari ). Delegatsiya ustasida Ushbu jildda tanlangan ob'ektlarni yaratish ni tanlang .

Va "Ruxsatlar" bo'limida " Barcha bolalar ob'ektlarini yaratish " ni tanlang .

Agar siz ADdagi tashkiliy birliklar oʻrtasida obʼyektlarni koʻchirish huquqini berishni istasangiz, quyidagi ruxsatlarni berishingiz kerak: Foydalanuvchi obʼyektlarini oʻchirish, Ajratilgan ismni yozish, Nomni yozish (**), Foydalanuvchi (yoki kompyuter) obyektlarini yaratish.

Active Directory-da tayinlangan huquqlarni ko'rish va o'chirish

Delegatsiya qoidalarining istalgan soni ADdagi istalgan OUga tayinlanishi mumkin. Guruhlar roʻyxatini va ularga berilgan huquqlarni ADUC konsolidagi OU xususiyatlaridan olishingiz mumkin. Xavfsizlik yorlig'iga o'ting .
Bu konteynerda ruxsatlarga ega bo'lgan AD ob'ektlari ro'yxatini o'z ichiga oladi. Berilgan ruxsatlar ro'yxatini Kengaytirilgan yorlig'ida ko'rish mumkin . Ko'rib turganingizdek, HelpDesk guruhiga parollarni tiklashga ruxsat berilgan.

Delegatsiya orqali ilgari berilgan ma'muriy huquqlarning ma'lum bir guruhini bekor qilishingiz mumkin. Ruxsatlar ro'yxatida o'zingizga huquqlar bergan guruhni toping va O'chirish tugmasini bosing .
Bundan tashqari, Xavfsizlik -> Kengaytirilgan yorlig'ida siz turli xil xavfsizlik guruhlariga nostandart ruxsatlarni belgilash orqali vakolatlar delegatsiyasini mustaqil ravishda sozlashingiz mumkin.

PowerShell yordamida Active Directory-da huquqlarni topshirish

PowerShell-dan foydalanib, siz OUga berilgan huquqlarni sanab o'tishingiz yoki joriy ruxsatlarni o'zgartirishingiz mumkin. va cmdletlari Active Directory-da huquqlarni olish va o'zgartirish uchun ishlatiladi (xuddi shu PowerShell cmdletlari fayl va papkalarda NTFS ruxsatlarini boshqarishGet-ACL uchun ishlatiladi ).Set-ACL

Quyidagi oddiy skriptda AD ning muayyan tashkiliy birligiga berilgan nostandart ruxsatlar ro‘yxati keltirilgan:

# Получаем OU

$OUs = Get-ADOrganizationalUnit -Filter 'DistinguishedName -eq "OU=Users,OU=NSK,DC=winitpro,DC=ru"'| Select-Object -ExpandProperty DistinguishedName

$schemaIDGUID = @{}

$ErrorActionPreference = 'SilentlyContinue'

Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties name, schemaIDGUID |

ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}

Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID |

ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}

$ErrorActionPreference = 'Continue'

ForEach ($OU in $OUs) {

$report += Get-Acl -Path "AD:\$OU" |

Select-Object -ExpandProperty Access |

Select-Object @{name='organizationalUnit';expression={$OU}}, `

@{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `

@{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `

*

}

# отчет с назначенными правами на OU

Ruxsatlar hisobotini grafik Out-GridView sifatida olishingiz mumkin :

$report| where {($_.IdentityReference -notlike "*BUILTIN*") -and ($_.IdentityReference -notlike "*NT AUTHORITY*") }| Out-GridView

Yoki Excelda keyingi tahlil qilish uchun CSV fayliga ruxsatlarni eksport qiling ( PowerShell skriptidan to'g'ridan-to'g'ri Excel fayliga satrlarni yozishingiz mumkin ):
$report | Export-Csv -Path "C:\ps\ADOU_Permissions.csv" –NoTypeInformation

Olingan hisobot darhol HelpDesk guruhiga OUda foydalanuvchi parollarini tiklash huquqi berilganligini ko'rsatadi.

Download 361.07 Kb.

Do'stlaringiz bilan baham:

1 2 3 4