Bagaimana untuk mewakilkan kebenaran kata laluan set semula untuk kakitangan IT anda - Bagaimana Untuk

Bagaimana untuk mewakilkan kebenaran kata laluan set semula untuk kakitangan IT anda

Salah satu kekuatan Direktori Aktif, atau sekurang-kurangnya bahagian pengurusannya, adalah keupayaan untuk mewakilkan kebenaran untuk memodifikasi pelbagai aspek direktori kepada pengguna istimewa yang lebih rendah.

Untuk tujuan ini, banyak kedai IT memberikan keupayaan untuk menetapkan semula kata laluan pengguna ke meja sokongan atau pengurus mereka di beberapa jabatan tertentu.

Inilah caranya untuk menyediakan delegasi untuk sekumpulan pengguna untuk mempunyai keupayaan menetapkan kata laluan untuk subset pengguna lain dalam OU tertentu.

Jika anda tidak mempunyai struktur OU yang agak kemas (iaitu pengguna anda tidak diatur dalam beberapa struktur logik), maka anda mungkin mempunyai beberapa masalah untuk menentukan cara melaksanakannya dengan betul.

Saya cadangkan anda melihat susun atur OU anda dan tentukan apa yang paling sesuai untuk anda.

6 langkah total

Langkah 1: Sahkan anda mempunyai Konsol Pengguna AD


Anda boleh menyemak kumpulan 'Alat Pentadbiran' dalam Menu Mula Windows anda untuk menentukan sama ada anda mempunyai ikon yang diberi label 'Pengguna dan Komputer Direktori Aktif'. Jika ya, langkai ke langkah seterusnya.

Adalah disyorkan untuk melakukan ini dari stesen kerja anda, jadi cari set peralatan RSAT anda yang spesifik di sini: https://wiki.samba.org/index.php/Installing_RSAT

*** Saya sedar itu adalah laman web untuk Samba, tetapi mereka menyimpan senarai yang baik, dikemas kini dan disatukan berbanding Microsoft!

Jika anda mahu, anda juga boleh melakukan langkah-langkah ini dari Pengawal Domain anda.

Langkah 2: Mulakan Delegasi Kawalan Wizard, pilih pengguna atau kumpulan anda untuk mewakilkan

Buka ADUC, cari pokok domain anda dan semak imbas ke tahap teratas yang anda ingin memohon kebenaran pengguna (sebagai contoh, 'Pengguna domain' di tempat kerja saya), klik kanan> 'Kawalan Perwakilan'.

Pada dialog Selamat Datang, klik 'Seterusnya'.

Pada dialog Pengguna atau Kumpulan, klik butang 'Tambah ...'. Anda akan diminta untuk menambah pengguna atau kumpulan yang mana anda akan memohon hak yang diwakilkan.

Pada dialog Pilih Pengguna, Komputer atau Kumpulan, sama ada taip nama objek (gunakan domain username atau domain nama kumpulan untuk hasil terbaik) atau klik 'Advanced'> 'Cari' untuk mencari sumber anda yang anda ingin memohon keizinan .

Sebaik sahaja anda telah memilih sumber anda, klik 'OK' pada dialog Pilih Pengguna, Komputer atau Kumpulan, kemudian klik 'Seterusnya' pada dialog Pengguna atau Kumpulan.

Langkah 3: Perintahkan tugas anda


Pada dialog Tugas untuk Delegasi, anda boleh memilih dari pelbagai tugas untuk diberikan kepada pengguna anda.

***** Jika anda HANYA ingin mewakilkan semula kata laluan kata laluan ****
Sahkan bahawa butang radio 'Beri tugasan' yang sama telah ditandakan dan pilih 'Tetapkan kata laluan pengguna dan tukar kata laluan pada logon' dan klik butang 'Seterusnya'.

Teruskan ke langkah 4.

**** Jika anda juga ingin mendelegasikan keupayaan untuk membolehkan / melumpuhkan akaun pengguna ****
Tic 'Buat tugas khusus untuk mewakilkan' butang radio dan klik butang 'Seterusnya'.

Tic 'Hanya butang berikut dalam butang radio' folder, dan pilih 'Objek pengguna' dan klik butang 'Selanjutnya'.

Di dialog 'Kebenaran', pilih kotak semak 'Umum' dan 'Khusus khusus' dan dalam senarai di bawah, semak keizinan berikut:

Tukar kata laluan
Menetapkan semula kata laluan
Baca userAccountControl
Tulis userAccountControl

Klik butang 'Selanjutnya'.

Langkah 4: Lengkapkan Delegasi Kawalan Wizard


Sebaik sahaja anda selesai menugaskan tugasan anda, anda boleh mengklik butang 'Finish' pada Melengkapkan dialog Delegasi Control Wizard.

Kini pengguna yang anda perintis tugas ini harus dapat menetapkan semula kata laluan (atau melakukan tindakan lain yang anda tentukan) pada objek di OU di mana anda menetapkan keizinan yang diwakilkan.

Langkah 5: Pilihan: Mengalih keluar keizinan yang diwakilkan

Mengalih keluar kebenaran yang telah digunakan secara tidak wajar bukanlah proses yang sama seperti menggunakannya. Anda boleh mengalih keluar keizinan dengan mengklik kanan OU di mana anda menggunakan kebenaran yang diwakilkan> 'Properties'.Klik tab 'Keselamatan'.

Klik butang 'Lanjutan'.

Anda akan dibawa ke Dialog Keamanan Lanjutan untuk dialog Pengguna Domain.

Dalam bahagian yang ditandakan 'entri izin', cari kumpulan atau pengguna yang diwakilkan keizinan anda. Sorot objek, kemudian klik 'Buang'. Jika anda menggunakan keizinan anda pada tahap yang lebih tinggi dalam struktur OU, anda tidak akan dapat menghapusnya dari tahap ini tanpa melanggar warisan keselamatan (yang saya TIDAK akan mengesyorkan). Hanya tingkatkan lagi tahap dalam struktur OU dan periksa kebenaran di sana.

Langkah 6: Pilihan: Menyekat pengguna daripada menetapkan semula kata laluan akaun sensitif


Saya telah mendapati bahawa cara terbaik untuk melakukan ini (orang lain boleh memberi komen tentang ini!) Adalah untuk membuat sub-OU di bawah struktur OU yang anda telah menggunakan kebenaran anda dan kemudian secara jelas menafikan keizinan pada tahap itu ... mari kita gunakan Pentadbir rangkaian sebagai contoh.

Dalam struktur OU saya, saya mempunyai OU yang dipanggil 'IT', maka saya mencipta OU baru di bawah yang dipanggil 'Administrator Rangkaian'.

Klik kanan 'Pentadbir Rangkaian' OU> 'Properties', kemudian klik tab 'Keselamatan'. Klik butang 'Lanjutan', kemudian klik dua kali sumber yang anda peruntukkan keizinan anda.

Anda kemudian boleh menafikan pengguna yang diwakilkan mana-mana perubahan kata laluan, dan lain-lain dengan mencari kebenaran yang bersesuaian dalam penyenaraian 'Permissions' dan mengklik kotak semak 'Deny' untuk masing-masing.

Dalam contoh ini, Pentadbir Domain masih mengekalkan keupayaan untuk mengubah / menetapkan kata laluan untuk akaun Pentadbir Rangkaian kami, tetapi kumpulan Sokongan IT (dalam contoh kami) tidak.

Pemberian perwakilan adalah cara yang sangat baik untuk memberi kuasa kepada meja bantuan anda, pengurus atau pengguna kuasa lain untuk membantu anda dengan beberapa kebiasaan IT yang dapat mengonsumsi hari anda, sehingga sukar untuk menumpukan pada tugas-tugas penting atau menarik lainnya.