Kategorie szkoleń | Egzaminy | Kontakt

Pytanie

Grupa mająca możliwość edycji wybranych atrybutów użytkownika w AD

  • 3
  • 2
  • 164

Dzień Dobry.

Potrzebuję pomocy w stworzeniu nowej grupy w AD coś na wzór Account Operators tyle ze z dużo mniejszą ilością uprawnień, chciałbym żeby użytkownicy w tej grupie mogli edytować tylko:
- Ulice 
- Miasto
- Kod pocztowy 

Grupa podpięta jest pod konkretną Jednostkę Organizacyjną w AD (w tej jednostce są użytkownicy, którzy dziedziczą uprawnienia).
Podczas edycji uprawnień OU nie ma takich atrybutów jak Kod pocztowy, atrybuty są widoczne tylko na typie obiektu użytkownik, a nie OU. A użytkownik dziedziczy przecież uprawnienia z OU.
Czy jest jakiś sposób żeby te atrybuty wyświetlić?

Rafał_Radzki
  • Zapytał
  • @ Rafał_Radzki | 22.02.2016
    • 2
    • 0
    • 1
Zaloguj się aby zadać pytanie
Pokrewne

Odpowiedzi (3)

  • 4

Istnieje możliwość delegowania kontroli na poziomie atrybutu dla obiektów w danym OU.

Opcja delegowania znajduje się w przystawce Active Directory Users and Computers (dsa.msc).
Klikamy prawym przyciskiem myszy na wybrane przez siebie OU i wybieramy opcję "Delegate Control...".

 

 

Dodajemy użytkownika lub grupę security której chcemy nadać uprawnienia.

Następnie czarodziej podpowiada nam zestaw przygotowanych wcześniej uprawnień oraz możliwość utworzenia własnego zestawu.
W przypadku który wymieniłeś należy utworzyć własną kolekcję uprawnień.

 

 

Jeżeli mamy listę atrybutów (nazwy atrybutów schematu AD) do której chcemy nadać uprawnienia należy je zaznaczyć.
Gdy nie znamy nazw systemowych tych atrybutów możemy w prosty sposób je wyszukać.

0. Anulujemy wizarda.
1. Klikamy View -> Advenced Features.
2. Przechodzimy do OU użytkownika "wzorcowego" który ma uzupełnione interesujące nas pola.
3. Klikamy na niego prawym -> Właściwości i przechodzimy do karty "Attribute Editor".
3*. Dla ułatwienia możemy kliknąć w "Filter" i oznaczyć opcje:

 

 

4. Spisujemy systemowe nazwy atrybutów z kolumny Attribute.

Wracając do delegowania uprawnień, po wybraniu atrybutów przechodzimy do karty w której doprecyzujemy poziom uprawień - w tym przypadku read/write.

Uprawnienia zostały nadane (widoczne są w zakładce Security -> Advanced -> Special).

 

Trzeba pamiętać że osoba której nadamy uprawnienia musi mieć zainstalowaną przystawkę dsa.exe (RSAT).

 

Ryszard_Czarnecki
  • Odpowiedział
  • @ Ryszard_Czarnecki | 22.02.2016
    • lider
    • laureat
    • 17
    • 20
    • 24
  • 2

Dziękuje za tak wyczerpującą odpowiedź, ta metoda jest znacznie prostsza od tej, którą ja próbowałem, ale problem jest ten sam. 
Atrybuty, które chciałbym zmienić znajdują się w karcie użytkownika pod nazwą:

- company
- department
- description
- I
- mobile
- physicalDeliveryOfficeName
- postalCode
- sn
- st
- streetAddress
- telephoneNumber

 

Problem w tym że nie wszystkie są dostępne podczas delegowania kontroli nie ma np: department i description jest coś podobnego adminDescription ale to nie ten atrybut: 

Czym to jest spowodowane? 

Rafał_Radzki
  • Odpowiedział
  • @ Rafał_Radzki | 23.02.2016
    • 2
    • 0
    • 1
  • 2

Narzędzie do delegacji uprawnień odwołuje się tylko do tych atrybutów, które zostały wcześniej przewidziane przez programistę. Informacje pobiera z pliku %systemroot%/inf/Delegwiz.inf, administrator może edytować ten plik:

https://technet.microsoft.com/pl-pl/library/cc772784(v=ws.10).aspx.

Oprócz tego system domyślnie filtruje znaczną cześć atrybutów chroniąc je przed wyświetlaniem i edycją. Informacja o tych atrybutach jest przechowywana w pliku %systemroot%/system32/dssec.dat i żeby je wyświetlać i zezwolić na edytowanie trzeba zmienić wartość przypisaną do atrybutu według opisu na stronie:

https://support.microsoft.com/pl-pl/kb/296490.

Jeśli atrybut nie był filtrowany, a kreator delegacji go nie pokazuje pozostaje konfiguracja uprawnień za pomocą polecenia DSACLS albo polecenia PowerShell Set-Acl lub za pomocą odpowiedniego skryptu:

https://technet.microsoft.com/en-us/library/ff406260.aspx

Dodatkowe informacje:

Lista atrybutów:

https://technet.microsoft.com/en-us/library/cc773095%28WS.10%29.aspx

Mapowanie atrybutów: nazwa w LDAP i nazwy widoczne w narzędziach:

https://msdn.microsoft.com/en-us/library/ms677980(v=vs.85).aspx

Best Practices for Delegating Active Directory Administration:

https://technet.microsoft.com/pl-pl/library/cc772939%28v=ws.10%29.aspx

  • Odpowiedział
  • @ | 27.02.2016
  • TRENER ALTKOM AKADEMII

POWIĄZANE
w bazie wiedzy

blog

Desired State Configuration - automatyzacja wdrażania i konfiguracji

Dla większości specjalistów IT odpowiedzialnych za utrzymanie serwerowych systemów i usług Microsoft codziennością stała się automatyzacja zadań administracyjnych przy użyciu technologii PowerShell. Umiejętność pisania skryptów konfigurujących, instalujących i automatyzujące zarządzanie usługami jest podstawą efektywnego wykonywania ich zadań.
  • Windows Server
  • PowerShell
quiz

Quiz wiedzy Windows Server 2012

Sprawdź wiedzę

  • Windows Server 2012/2012 R2
  • Windows Server
webinarium

Server VPN: konfiguracja w oparciu o Windows 2012

  • Zarządzanie Infrastrukturą IT
  • Windows Server
  • Windows Server 2012/2012 R2