רוצים להגדיר הרשאות מיוחדות למשתמשים אבל לא רוצים לתת להם את כל סט הכלים שיש ל-AD להציע? במדריך הבא תגלו שאפשר לעשות דלגציה בקלות ובבטחה תוך כדי שמירה על עקרונות אבטחת מידע.
הקדמה
לעיתים אנו מוצאים את עצמנו בהתעסקות יתירה עם חשבונות משתמשים: פתיחת וסגירה משתמשים, הפעלת או חסימת משתמש, שינוי שם, הכנסה לקבוצה, ועוד.
הדבר מביא לכך שאחוזים ניכרים מסדר יומנו מופנה להתעסקות בתקלות Tier1 מאשר התעסקות בתחזוקה או פרוייקטים.
המדריך הבא מסביר כיצד ליצור דלגציה למשתמש רגיל, ולתת לו גישה רק להרשאות ספציפיות + הגדרת קונסולת MMC מיוחדת עבורו לביצוע הפעולות.
מתחילים
נתחיל מהחלק החשוב. דלגציה.
איך עושים זאת? להלן:
ראשית נגדיר קבוצת Security ונכניס לתוכה משתמש רצוי.
כעת ניגש למסך הראשי של Active Directory על ידי פתיחת חלונית הפעלה, הקלדת dsa.msc ואנטר.
קליק ימני על שם הדומיין שלנו ואז על Delegate Control
נלחץ על Next
כעת נקליק על Add להוספה של משתמשים או קבוצות
בחלונית שקפצה נכניס את המשתמש הרצוי, ונלחץ על OK
נוחזר למסך הקודם המשך התהליך. נלחץ על Next
במסך הבא נבחר באפשרות הרצויה (או באפשרויות הרצויות) ונקליק על Next
כעת נלחץ על Finish לסיום התהליך
לאחר יצירת הדלגציה נעבור לשלב הבא
יצירת קונסולת MMC מותאמת לביצוע פעולות ספציפיות
על מנת שהמשתמש יוכל לבצע פעולות אדמין מותאמות (איפוס סיסמאות, חסימת והפעלת משתמשים, יצירת משתמשים) ללא גישה לכל אפשרויות עץ ה-Active Directory אנו ננקוט בשיטה הבאה:
בתוך השרת נפתח בחלונית Run את הפקודה mmc
ייפתח לנו קונסולת מסך ה-MMC. כאן נלחץ על File ולאחר מכן על Add/Remove Snap-in..
בחלונית שנפתחה נסמן את Active Directory Users and Computers ולאחר מכן נלחץ על הכפתור Add שנמצא באמצע, ולאחר מכן על OK
בחלונית שנפתחה נרחיב את העץ של ה-AD וניצור משתמש חדש בתיקיית המשתמשים שלנו (בהמשך יובן מדוע)
כעת נבצע קליק ימני על תיקיית המשתמשים שלנו ואז על New Window From Here
תתקבל התצוגה הבאה (שימו לב שהעץ התקצר לכדי תיקיית המשתמשים שלנו בלבד)
יוקפץ האשף הבא, כאן נלחץ על Next:
במסך הבא נלחץ על Next
כאן ניתן שם ותיאור ונלחץ על Next
במסך הבא נלחץ על Finish לסיום
כעת יוקפץ אשף חדש וכמובן נקליק על Next
נלחץ על Next
זוכרים את המשתמש שיצרנו בתיקיית המשתמשים שלנו? במסך הבא הוא נכנס לפעולה.
גוללים מטה ובצד שמאל מסמנים את המשתמש שיצרנו, ולאחר מכן מסמנים את האפשרות Reset Password בצד ימין, ולוחצים על Next
במסך הבא ניתן שם ותיאור לאפשרות שאנו יוצרים
כעת נבחר מהרשימה אייקון, ונלחץ על Next
במסך הבא נסמן את When I click Finish , run this wizard again (מיד תבינו מדוע), ונלחץ על Finish
כעת ייפתח בפנינו שוב האשף של New Task על מנת שנוסיף עוד אפשרות. כאן נלחץ Next ולאחר מכן עוד פעם Next
יופיע המסך המוכר רק שהפעם נסמן את היוזר Test ונבחר באפשרות Disable Account
נקליק שוב Next פעמיים ונבחר שוב אייקון רצוי לפעולה שיצרנו, וכמובן על Next לאחר מכן
כאן נלחץ על Finish (הפעם ללא סימון האפשרות מטה) לסיום
התוצאה:
כעת נותר לנו לשמור את הקונסולה בשם, ע”י לחיצה על File ואז על Save As
כאן ניתן שם לקובץ, ונקליק על Save
התוצאה: קובץ MMC ייעודי לאיפוס סיסמאות ונטרול חשבונות
זהו. כל שנותר כעת הוא להעביר את הקובץ (לא במייל) שנוצר לשימוש המשתמש/קבוצה לו/לה הוגדרה דלגציה.
