יצירת דלגציה למשתמש
רוצים להגדיר הרשאות מיוחדות למשתמשים אבל לא רוצים לתת להם את כל סט הכלים שיש ל-AD להציע? במדריך הבא תגלו שאפשר לעשות דלגציה בקלות ובבטחה תוך כדי שמירה על עקרונות אבטחת מידע.
הקדמה
לעיתים אנו מוצאים את עצמנו בהתעסקות יתירה עם חשבונות משתמשים: פתיחת וסגירה משתמשים, הפעלת או חסימת משתמש, שינוי שם, הכנסה לקבוצה, ועוד.
הדבר מביא לכך שאחוזים ניכרים מסדר יומנו מופנה להתעסקות בתקלות Tier1 מאשר התעסקות בתחזוקה או פרוייקטים.
המדריך הבא מסביר כיצד ליצור דלגציה למשתמש רגיל, ולתת לו גישה רק להרשאות ספציפיות + הגדרת קונסולת MMC מיוחדת עבורו לביצוע הפעולות.
מתחילים
נתחיל מהחלק החשוב. דלגציה.
איך עושים זאת? להלן:
ראשית נגדיר קבוצת Security ונכניס לתוכה משתמש רצוי.
כעת ניגש למסך הראשי של Active Directory על ידי פתיחת חלונית הפעלה, הקלדת dsa.msc ואנטר.
קליק ימני על שם הדומיין שלנו ואז על Delegate Control

נלחץ על Next

כעת נקליק על Add להוספה של משתמשים או קבוצות

בחלונית שקפצה נכניס את המשתמש הרצוי, ונלחץ על OK

נוחזר למסך הקודם המשך התהליך. נלחץ על Next

במסך הבא נבחר באפשרות הרצויה (או באפשרויות הרצויות) ונקליק על Next

כעת נלחץ על Finish לסיום התהליך

לאחר יצירת הדלגציה נעבור לשלב הבא
יצירת קונסולת MMC מותאמת לביצוע פעולות ספציפיות
על מנת שהמשתמש יוכל לבצע פעולות אדמין מותאמות (איפוס סיסמאות, חסימת והפעלת משתמשים, יצירת משתמשים) ללא גישה לכל אפשרויות עץ ה-Active Directory אנו ננקוט בשיטה הבאה:
בתוך השרת נפתח בחלונית Run את הפקודה mmc

ייפתח לנו קונסולת מסך ה-MMC. כאן נלחץ על File ולאחר מכן על Add/Remove Snap-in..
בחלונית שנפתחה נסמן את Active Directory Users and Computers ולאחר מכן נלחץ על הכפתור Add שנמצא באמצע, ולאחר מכן על OK

בחלונית שנפתחה נרחיב את העץ של ה-AD וניצור משתמש חדש בתיקיית המשתמשים שלנו (בהמשך יובן מדוע)
כעת נבצע קליק ימני על תיקיית המשתמשים שלנו ואז על New Window From Here
תתקבל התצוגה הבאה (שימו לב שהעץ התקצר לכדי תיקיית המשתמשים שלנו בלבד)
יוקפץ האשף הבא, כאן נלחץ על Next:

במסך הבא נלחץ על Next

כאן ניתן שם ותיאור ונלחץ על Next

במסך הבא נלחץ על Finish לסיום

כעת יוקפץ אשף חדש וכמובן נקליק על Next

נלחץ על Next

זוכרים את המשתמש שיצרנו בתיקיית המשתמשים שלנו? במסך הבא הוא נכנס לפעולה.
גוללים מטה ובצד שמאל מסמנים את המשתמש שיצרנו, ולאחר מכן מסמנים את האפשרות Reset Password בצד ימין, ולוחצים על Next

במסך הבא ניתן שם ותיאור לאפשרות שאנו יוצרים

כעת נבחר מהרשימה אייקון, ונלחץ על Next

במסך הבא נסמן את When I click Finish , run this wizard again (מיד תבינו מדוע), ונלחץ על Finish

כעת ייפתח בפנינו שוב האשף של New Task על מנת שנוסיף עוד אפשרות. כאן נלחץ Next ולאחר מכן עוד פעם Next

יופיע המסך המוכר רק שהפעם נסמן את היוזר Test ונבחר באפשרות Disable Account

נקליק שוב Next פעמיים ונבחר שוב אייקון רצוי לפעולה שיצרנו, וכמובן על Next לאחר מכן

כאן נלחץ על Finish (הפעם ללא סימון האפשרות מטה) לסיום

התוצאה:
כעת נותר לנו לשמור את הקונסולה בשם, ע”י לחיצה על File ואז על Save As

כאן ניתן שם לקובץ, ונקליק על Save

התוצאה: קובץ MMC ייעודי לאיפוס סיסמאות ונטרול חשבונות

זהו. כל שנותר כעת הוא להעביר את הקובץ (לא במייל) שנוצר לשימוש המשתמש/קבוצה לו/לה הוגדרה דלגציה.