Active Directory

יצירת דלגציה למשתמש

רוצים להגדיר הרשאות מיוחדות למשתמשים אבל לא רוצים לתת להם את כל סט הכלים שיש ל-AD להציע? במדריך הבא תגלו שאפשר לעשות דלגציה בקלות ובבטחה תוך כדי שמירה על עקרונות אבטחת מידע.

גילוי נאות: הנהלת האתר לא תישא בשום נזק כלשהו שייגרם כתוצאה מעבודה לפי מדריך זה. השינויים והעבודה על אחריות המשתמש בלבד.

הקדמה

לעיתים אנו מוצאים את עצמנו בהתעסקות יתירה עם חשבונות משתמשים: פתיחת וסגירה משתמשים, הפעלת או חסימת משתמש, שינוי שם, הכנסה לקבוצה, ועוד.

הדבר מביא לכך שאחוזים ניכרים מסדר יומנו מופנה להתעסקות בתקלות Tier1 מאשר התעסקות בתחזוקה או פרוייקטים.

המדריך הבא מסביר כיצד ליצור דלגציה למשתמש רגיל, ולתת לו גישה רק להרשאות ספציפיות + הגדרת קונסולת MMC מיוחדת עבורו לביצוע הפעולות.

מתחילים

נתחיל מהחלק החשוב. דלגציה.

דלגציה היא האפשרות לתת למשתמש פעולות והרשאות מסוימות על מנת “להוריד” מאיתנו נפח מעמסה ועבודה.

איך עושים זאת? להלן:

ראשית נגדיר קבוצת Security ונכניס לתוכה משתמש רצוי.

כעת ניגש למסך הראשי של Active Directory על ידי פתיחת חלונית הפעלה, הקלדת dsa.msc ואנטר.

קליק ימני על שם הדומיין שלנו ואז על Delegate Control

נלחץ על Next

כעת נקליק על Add להוספה של משתמשים או קבוצות

בחלונית שקפצה נכניס את המשתמש הרצוי, ונלחץ על OK

נוחזר למסך הקודם המשך התהליך. נלחץ על Next

במסך הבא נבחר באפשרות הרצויה (או באפשרויות הרצויות) ונקליק על Next

כעת נלחץ על Finish לסיום התהליך

לאחר יצירת הדלגציה נעבור לשלב הבא

יצירת קונסולת MMC מותאמת לביצוע פעולות ספציפיות

על מנת שהמשתמש יוכל לבצע פעולות אדמין מותאמות (איפוס סיסמאות, חסימת והפעלת משתמשים, יצירת משתמשים) ללא גישה לכל אפשרויות עץ ה-Active Directory אנו ננקוט בשיטה הבאה:

חשוב מאוד: יש לשים לב ולעקוב במדויק אחרי התהליך. יש מספר אשפים להגדיר, וכל צעד מוטעה יוביל אתכם שוב להתחלת התהליך וליצירה מחדש של הקובץ, מה שלעיתים יכול להתיש.

בתוך השרת נפתח בחלונית Run את הפקודה mmc

ייפתח לנו קונסולת מסך ה-MMC. כאן נלחץ על File ולאחר מכן על Add/Remove Snap-in..

בחלונית שנפתחה נסמן את Active Directory Users and Computers ולאחר מכן נלחץ על הכפתור Add שנמצא באמצע, ולאחר מכן על OK

בחלונית שנפתחה נרחיב את העץ של ה-AD וניצור משתמש חדש בתיקיית המשתמשים שלנו (בהמשך יובן מדוע)

ניתן לבצע את הפעולה על כל תיקיה או OU ייעודי שרק תרצו. לצורך הדגמה יצרנו כאן את ההגדרה על תיקיית ה-Users הדיפולטיבית.

כעת נבצע קליק ימני על תיקיית המשתמשים שלנו ואז על New Window From Here

תתקבל התצוגה הבאה (שימו לב שהעץ התקצר לכדי תיקיית המשתמשים שלנו בלבד)

יוקפץ האשף הבא, כאן נלחץ על Next:

במסך הבא נלחץ על Next

כאן ניתן שם ותיאור ונלחץ על Next

במסך הבא נלחץ על Finish לסיום

כעת יוקפץ אשף חדש וכמובן נקליק על Next

שימו לב: כאן מדובר על אשף מסוג New Task ולא New Taskbar

נלחץ על Next

זוכרים את המשתמש שיצרנו בתיקיית המשתמשים שלנו? במסך הבא הוא נכנס לפעולה.

גוללים מטה ובצד שמאל מסמנים את המשתמש שיצרנו, ולאחר מכן מסמנים את האפשרות Reset Password בצד ימין, ולוחצים על Next

במסך הבא ניתן שם ותיאור לאפשרות שאנו יוצרים

כעת נבחר מהרשימה אייקון, ונלחץ על Next

במסך הבא נסמן את When I click Finish , run this wizard again (מיד תבינו מדוע), ונלחץ על Finish

כעת ייפתח בפנינו שוב האשף של New Task על מנת שנוסיף עוד אפשרות. כאן נלחץ Next ולאחר מכן עוד פעם Next

יופיע המסך המוכר רק שהפעם נסמן את היוזר Test ונבחר באפשרות Disable Account

נקליק שוב Next פעמיים ונבחר שוב אייקון רצוי לפעולה שיצרנו, וכמובן על Next לאחר מכן

כאן נלחץ על Finish (הפעם ללא סימון האפשרות מטה) לסיום

התוצאה:

כעת נותר לנו לשמור את הקונסולה בשם, ע”י לחיצה על File ואז על Save As

שימו לב: בברירת מחדל התיקיה אליה ה-MMC נשמר היא תיקיה בנתיב הבא. חשוב לשנות לתיקיה שאליה יש לנו גישה ואנו מכירים את הכתובת אליה.

כאן ניתן שם לקובץ, ונקליק על Save

התוצאה: קובץ MMC ייעודי לאיפוס סיסמאות ונטרול חשבונות

זהו. כל שנותר כעת הוא להעביר את הקובץ (לא במייל) שנוצר לשימוש המשתמש/קבוצה לו/לה הוגדרה דלגציה.

Rami

יזם, איש סיסטם, מתכנת בחסד, ונושם אינטרנט.

מאמרים קשורים

Leave a Reply

Your email address will not be published.

אתה תאהב גם את זה
Close
Back to top button