Delegar a administração do Active Directory no Windows Server

Um dos aspectos mais importantes, mas ao mesmo tempo cuidadosos em um ambiente de servidor é definir quem pode acessar o servidor e quais privilégios eles podem ter dentro do sistema desde quaisquer alterações não exigidas ou aprovadas podem colocar em risco toda a infraestrutura da organização.

Muitos de nós, como pessoal de TI em nossas empresas, tivemos que conceder permissões de administrador a usuários que não deveriam estar naquele grupo devido ao fato de que eles precisam realizar algum tipo de tarefa administrativa e, como usuários normais, isso não é possível.

Um exemplo real que conhecemos é que foi necessário adicionar um usuário do grupo de sistemas do país da Bolívia ao grupo de administradores para que pudesse criar usuários a uma unidade organizacional especial, para a qual era necessário adicionar o referido usuário a o grupo Administradores e a surpresa Surgiu quando este usuário eliminou alguns equipamentos de produção muito importantes, o que gerou um certo caos na empresa.

Para resolver esses problemas O Windows Server inclui a opção de delegar administração de certas tarefas para usuários específicos em certas UOs, Domínios ou GPOs.

1. Compreenda a delegação de administração no Windows Server 2016


Para muitos, pode parecer caótico e perigoso atribuir funções administrativas a usuários que podem não ter experiência ou conhecimento para gerenciar os elementos do Windows Server 2016 e, como bem sabemos, não é possível adicionar um usuário ao grupo Administradores e restringir as tarefas, pois por padrão este grupo concede todo o gerenciamento do servidor.

Ao delegar a administração, podemos indicar que um usuário sem experiência profunda pode criar um usuário em uma unidade organizacional específica sem afetar o resto do sistema, uma vez que eles só terão acesso a onde determinamos e não a toda a árvore de Windows Server 2016.

As permissões administrativas podem ser concedidas a um usuário ou grupo Ele contém diferentes usuários, mas o mais importante é que somos muito claros sobre quais permissões e a quem as concedemos. Para este estudo, criamos uma OU chamada Permissões e criamos um grupo chamado Solvetic e um usuário chamado Access (o usuário foi incluído no grupo Solvetic).

Como sabemos, qualquer usuário não pode se conectar ao domínio imediatamente, devemos autorizar o acesso desse usuário ao domínio, para o qual concedemos permissão ao usuário Acesso para se conectar ao domínio.

Para estabelecer essa permissão, devemos abra o editor de Política de Grupo GPO, para fazer isso, pressione o botão de retenção janelas + R aparecerá para ser capaz de inserir o comando para executar, digite:

 gpedit.msc
você irá para o seguinte caminho:
  • Políticas de computador local
  • Configuração de Equipamentos
  • Configurações do Windows
  • Configurações de segurança
  • Diretivas locais
  • Cessão de direitos

E lá selecione a opção Permitir login local. Com isso, este grupo ou usuário selecionado poderá se conectar localmente ao computador ou servidor para realizar determinadas tarefas designadas.

Aqui, simplesmente adicionamos o grupo Solvetic para que o usuário do Access possa efetuar login.

2. Implementar Delegação de Administração no Windows Server 2016


Uma vez que tenhamos adicionado o usuário para que ele possa logar, vamos iniciar o processo de delegação ao usuário indicado, neste caso Acesso, vamos conceder-lhe permissões na unidade organizacional Permissões. Por isso vamos dar Clique com o botão direito na unidade organizacional de Permissões e selecione a opção Delegar Controle.

Vemos que o assistente para delegação de controle é exibido. Nós clicamos em Avançar.

A seguir devemos adicionar o grupo Solvetic que criamos, para isso clicamos no botão Adicionar e procuramos o grupo.

Clicamos em Avançar novamente e podemos ver que existem diferentes tarefas que podem ser delegadas ao usuário, como:

  • Criar, editar ou excluir grupos
  • Criar, editar ou excluir usuários
  • Modificar associações de grupo
  • Gerenciar políticas de grupo

Neste caso Selecionaremos as opções Criar, excluir e gerenciar grupos e Criar, excluir e gerenciar contas de usuário selecionando as respectivas caixas.

Clicamos em Avançar e podemos ver que concluímos a configuração necessária.

Clique em Concluir para sair do assistente.

3. Verifique a delegação de controle


Em seguida, faremos login com o usuário Access no Windows Server 2016.

PROLONGAR

Depois de fazer o login, tentaremos criar um usuário na unidade organizacional de Permissões para validar se podemos criar um usuário.

PROLONGAR

Vamos criar um usuário chamado Solvetic1. Também criaremos um grupo chamado Testes (lembre-se que o usuário de acesso teve o controle delegado para criar, editar ou excluir usuários e grupos).

Se tentarmos realizar uma tarefa que não foi delegada, por exemplo, adicionar uma equipe ou qualquer outra, veremos que uma mensagem é exibida indicando que por motivos de segurança não podemos criar o objeto.

4. Verifique as permissões do grupo criado


Podemos acessar o Windows Server 2016 novamente com o usuário Administrador e vamos para Usuários e Computadores do Active Directory, lá devemos ir ao menu Exibir e selecionar a opção Recursos Avançados. Lá, clicamos com o botão direito na unidade organizacional Permissões e podemos ver que o grupo Solvetic possui permissões especiais.

Se pressionarmos o botão Opções Avançadas, poderemos ver as permissões que criamos durante o processo de delegação.

Como vemos Usando a delegação de controle no Windows Server 2016, podemos atribuir tarefas específicas sem colocar em risco a segurança e a integridade do servidor e do domínio..

Algo importante que devemos ter em mente é que usando a delegação de controle, podemos apenas atribuir permissões, mas não restringir ou modificar permissões para usuários específicos. Vamos usar esta ferramenta interessante em nossas organizações para evitar adicionar qualquer usuário que requeira algum tipo de permissão ao grupo Administradores.

Aqui está um tutorial que pode ser do seu interesse:

Gerenciar AD no Windows Server 2016

wave wave wave wave wave