Delegați administrarea Active Directory în Windows Server

Delegați administrarea Active Directory în Windows Server | Microsoft 2025
Delegați administrarea Active Directory în Windows Server | Microsoft 2025

Unul dintre cele mai importante, dar în același timp, aspecte atente într-un mediu server este de a defini cine poate accesa serverul și ce privilegii pot avea în cadrul sistemului orice modificare care nu este necesară sau aprobată poate pune în pericol întreaga infrastructură a organizației.

Mulți dintre noi, ca personal IT din companiile noastre, au fost nevoiți să acordăm permisiuni de administrator utilizatorilor care nu ar trebui să se afle în acel grup datorită faptului că trebuie să efectueze un anumit tip de sarcină administrativă și ca utilizatori normali nu este posibil.

Un exemplu real pe care îl știm este că a fost necesar să adăugăm un utilizator din grupul de sisteme din țara Bolivia la grupul de administratori, astfel încât să poată crea utilizatori într-o unitate organizațională specială, pentru care a fost necesar să adăugăm respectivul utilizator la grupul Administratori și surpriza A venit când acest utilizator a eliminat niște echipamente de producție foarte importante, ceea ce a generat un pic de haos în companie.

Pentru a rezolva aceste probleme Windows Server include opțiunea de delegare a administrării de la anumite sarcini la utilizatori specifici în anumite unități de stocare, domenii sau GPO-uri.

1. Înțelegeți delegarea administrării în Windows Server 2016


Pentru mulți, poate suna haotic și periculos să atribuiți roluri administrative utilizatorilor care nu au experiența sau cunoștințele necesare pentru a gestiona elementele Windows Server 2016 și, după cum știm bine, nu este posibil să adăugați un utilizator la grupul Administratori și restricționează sarcinile, deoarece implicit acest grup acordă toată gestionarea pe server.

Prin delegarea administrației putem indica faptul că un utilizator fără experiență profundă poate crea un utilizator într-o anumită unitate organizațională fără a afecta restul sistemului, deoarece vor avea acces doar acolo unde determinăm și nu la întregul arbore al Windows Server 2016.

Permisiunile administrative pot fi acordate unui utilizator sau unui grup Conține utilizatori diferiți, dar cel mai important lucru este că suntem foarte clari despre ce permisiuni și cui le acordăm. Pentru acest studiu am creat un OU numit Permissions și am creat un grup numit Solvetic și un utilizator numit Access (utilizatorul a fost inclus în grupul Solvetic).

După cum știm, orice utilizator nu se poate conecta imediat la domeniu, trebuie autorizați accesul utilizatorului respectiv la domeniu, pentru care acordăm permisiunea utilizatorului Acces pentru a vă conecta la domeniu.

Pentru a stabili această permisiune trebuie deschideți editorul de politici de grup GPO, pentru a face acest lucru, țineți apăsat butonul Windows + R va apărea pentru a putea introduce comanda de executat, tastați: 

 gpedit.msc
veți merge la următorul traseu:
  • Politicile informatice locale
  • Configurarea echipamentului
  • Setări Windows
  • Setări de securitate
  • Directivele locale
  • Cesiunea drepturilor

Și acolo selectați opțiunea Permiteți autentificarea locală. Cu aceasta, acest grup sau utilizatorul selectat va putea să se conecteze local la computer sau server pentru a putea efectua anumite sarcini desemnate.

Aici adăugăm pur și simplu grupul Solvetic, astfel încât utilizatorul Access să se poată autentifica.

2. Implementați delegarea administrării în Windows Server 2016


Odată ce am adăugat utilizatorul pentru ca acesta să se poată conecta, vom începe procesul de delegare către utilizatorul indicat, în acest caz Access, îi vom acorda permisiuni pentru unitatea organizatorică Permissions. Pentru aceasta vom da Faceți clic dreapta pe unitatea organizatorică Permisiuni și selectați opțiunea Control delegat.

Vedem că este afișat expertul pentru delegarea controlului. Facem clic pe Următorul.

În continuare trebuie să adăugăm grupul Solvetic pe care l-am creat, pentru aceasta facem clic pe butonul Adăugare și căutăm grupul.

Facem din nou clic pe Următorul și putem vedea că există diferite sarcini care pot fi delegate utilizatorului, cum ar fi:

  • Creați, editați sau ștergeți grupuri
  • Creați, editați sau ștergeți utilizatori
  • Modificați apartenența la grup
  • Gestionați politicile de grup

În acest caz Vom selecta opțiunile Creați, ștergeți și gestionați grupuri și Creați, ștergeți și gestionați conturi de utilizator selectând casetele respective.

Facem clic pe Următorul și putem vedea că am finalizat configurația necesară.

Faceți clic pe Finalizare pentru a ieși din expert.

3. Verificați delegarea controlului


Apoi ne vom autentifica cu utilizatorul Access în Windows Server 2016.

MARI

Odată ce ne-am conectat, vom încerca să creăm un utilizator în unitatea organizațională Permisiuni pentru a confirma că putem crea un utilizator.

MARI

Vom crea un utilizator numit Solvetic1. De asemenea, vom crea un grup numit Teste (nu uitați că utilizatorului de acces i s-a delegat controlul pentru a crea, edita sau șterge utilizatori și grupuri).

Dacă încercăm să realizăm o sarcină care nu a fost delegată, de exemplu adăugarea unei echipe sau a oricărei alte, vom vedea că este afișat un mesaj care indică faptul că, din motive de securitate, nu putem crea obiectul.

4. Verificați permisiunile grupului creat


Putem accesa din nou Windows Server 2016 cu utilizatorul Administrator și mergem la Utilizatori și computere Active Directory, acolo trebuie să mergem în meniul Vizualizare și să selectăm opțiunea Funcții avansate. Acolo facem clic dreapta pe unitatea organizațională Permisiuni și putem vedea că grupul Solvetic are permisiuni speciale.

Dacă apăsăm butonul Opțiuni avansate, vom putea vedea permisiunile pe care le-am creat în timpul procesului de delegare.

După cum vedem Folosind delegarea controlului în Windows Server 2016 putem atribui sarcini specifice fără a pune în pericol securitatea și integritatea serverului și a domeniului..

Ceva important pe care trebuie să-l avem în vedere este că, folosind delegarea controlului, putem atribui numai permisiuni, dar nu restricționa sau modifica permisiunile anumitor utilizatori. Să folosim acest instrument interesant în organizațiile noastre pentru a evita adăugarea oricărui utilizator care necesită un fel de permisiune pentru grupul Administratori.

Iată un tutorial care vă poate interesa:

Gestionați AD în Windows Server 2016

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Cum se utilizează și se descarcă emojis în Windows 10
2
post-title
Cum se elimină sunetul de pe tastatură Samsung Galaxy M10
3
post-title
Creați Slider și prezentări cu Reveal.js
4
post-title
Criptați sau decriptați fișierele OpenSSL cu parolă
5
post-title
PostgreSQL - Advanced Insert

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -