Delegate control i Active directory, fullt insyn i resten av AD?

[vargaz]

Jeg tenkte å gi en lærer (systemansvarlig) på en av skolene tilgang til sine elever i AD. Altså ved hjelp av delegate control og kun tilgang til å endre passord på de under "sin" OU. Etter å ha satt opp en test på dette, legger jeg merke til at testbrukern min får lesetilgang på hele AD, i tillegg ser det ut som at han har endringsmuligheter under enkelte faner på ALLE brukerne. Dette er jo krise, slik kan jeg ikke ha det, selv om lærern er ganske flink på data, ønsker jeg ikke fullt innsyn i resten av AD i tillegg til mulige redigeringsmuligheter. Alle kan jo gjøre en feil, men er også spesielt redd for at elever får tak i passordet. Har et Windows 2003 domene, lurer på om det er noen av dere som har noen tips til hvordan jeg kan løse dette.

[CrZy_T]

LDAP-databasen er vel normalt åpen for lesing for alle?

[Gammon]

Har laget en liten oppskrift for hvordan jeg gjorde dette. Kan kanskje være til hjelp for noen.

 

Active Directory (AD):

1. Lag en ”Security Group” (SG) i AD. Denne gruppen skal inneholde superbrukerne som skal ha tilbakestill passord-funksjonaliteten. Jeg laget gruppen _SG – tilbakestille passord.
   
2. Høyreklikk på Organisational Unit (OU) som du ønsker å delegere ansvar til, og velg ”Delegate Control…”
   
3. Følg veiviseren. Du får spørsmål om hvem du ønsker å delegere kontroll til. Velg SG-en du lagde i punkt 1. Velg ”Create a Custom Task to delegate”.
   
4. Velg ”Only the following objects in the folder” og velg deretter ”Bruker Objects”
   
5. Velg ”General” og ”Property Specific”
   
6. Velg ”Endre passord”, ”Tilbakestill passord”, ”Read & Write kontobegrensninger”, ”Read lock-out time” og ”Write lock-out time”.
   

Microsoft Management Console (MMC):

1. Velg ”kjør”, skriv inn ”mmc” for å starte opp konsollet. (Adminpak må være installert før du kan fullføre denne jobben).
   
2. Velg ”Fil” og ”Legg til/fjern snap-in modul, velg ”Legg til” og velg ”Active Directory Users and Computers”
   
3. Bla deg fram til OU-en du ønsker å delegere kontroll i. (NB: Du bør lage en MMC per OU). Høyreklikk på OU-en og velg ”Ny oppgaveblokkvisning”. Fullfør veiviseren, sett innstillinger for hvordan vinduet skal se ut og gi navn til oppgaveblokken.
   
4. Nå skal du legge til oppgaver i oppgaveblokken. Høyreklikk på OU og velg ”Rediger oppgaveblokkvisning”, deretter gå til ”Oppgaver” og trykk på ”Ny”.
   
5. Følg veiviseren. Velg ”Menykommando”. I neste skjermbilde markerer du et element i vinduet til venstre, og du får da opp hvilke oppgaver du kan lage i vinduet til høyre.
   
6. Jeg laget oppgavene ”Reset Password”, ”Disable account” og ”Enable account”. Dette er nokså rett fram, følg veiviseren og lag forklarende navn på oppgavene du lager. Du må gjenta veiviseren for hver oppgave du ønsker å lage.
   
7. Når du har laget oppgavene er det tid for å tilpasse utseendet og fjerne unødvendig funksjonalitet. Jeg gikk under ”Vis”-menyen, valgte ”Tilpass” og fjernet alt utenom ”Statuslinje” og ”Beskrivelseslinje”.
   
8. Til slutt går du på ”Fil” og ”Alternativer” og endrer innstillingen ”Konsollmodus” til ”Brukermodus – begrenset tilgang, ett vindu”. Deretter lagrer du konsollet.
   

PS: For å bruke MMC-en må adminpak være installert på PC-en, evt. på terminalserver hvis det er tynne klienter

[smagne]

Takk for bra oppskrift!

 

Kan man sperret ned at bruker ikke kan "bla" seg rundt i AD?

 

Se eksempel under:

 

1. Bruker starter "nedstrupet" AD snap-in.

2. Bruker får frem OU han har tilgang til.

3. Bruker trykker "Backspace" og vil dermed kunne bla seg rundt i Active Directory.

[kakkle]

Hei...

 

Uansett hvor mye man låser ned AD innenfor msc consollet, så er det vel ingenting som hindrer bruker i å starte et mmc console, og legge til Active Directory Users And Computers og browse hele AD.

Kan forsåvidt også bare starte dsa.msc fra start -> Run...

 

Det som går, er å lage en hta applikasjon, som er begrenset til å kun bli kjørt av medlemmer av en spesiell gruppe.

Her kan de da endre passord på utvalgte brukere som de får opp i en liste. De får da også en mulighet til å velge flere brukere å sette samme passord på samtidig. For eksempel alle innenfor en avdeling. Det er alt etter hvordan man velger å vise brukerne fra AD.

 

Da kan man vel også evt hindre kjøring Active Directory Users and Computers via Policy, for å hindre at bruker skal kunne browse hele AD.

Og brukere har heller ikke behov for å ha installert adminpak

 

Men igjen, så er det ingenting som hindrer en bruker å laste et helt annet program som lister hele AD. Det finnes mange programmer som gjør dette.

 

Så lenge de har lese tilgang, så er det ingenting som hindrer dem i å kunne browse AD. Dersom bruker må ha mulighet til å endre, så er det veldig viktig at delegering av rettigheter kun benyttes på de objektene som bruker skal ha tilgang til å endre på.

[DCG]

LDAP/AD er en åpen protokoll. Det eneste du kan styre er hvorvidt en bruker må autentiserer før den kan lese databasen.