web-dev-qa-db-ja.com

Active Directoryのアクセス許可:削除と移動

ヘルプデスクでユーザーアカウントを移動できるようにしたいが、削除しないようにしたい。影響を受けるOUに設定されている現在のアクセス許可の概要は次のとおりです(これにより、ユーザーアカウントを削除できます)。

  • 許可-フルコントロール-子孫ユーザーオブジェクト
  • 許可-ユーザーオブジェクトの作成/削除-このオブジェクトとすべての子孫オブジェクト

ACEを編集し、[削除]ボックスのチェックを外して、その一番上の行を変更すると、ヘルプデスクがユーザーオブジェクトを削除できないという望ましい結果が得られます。ただし、OU間でユーザーを移動しようとすると、アクセス拒否エラーが発生します。

私が望むことは可能ですか?マイクロソフトは、移動と削除を真剣に区別していませんか?

active-directorypermissionsdelegation
5
Fëanor

論理的には、「移動」はコピー(またはファイルシステム用語ではハードリンク)の後に削除が続きます。元の場所から移動できない場合は移動できません削除

いいえ、Microsoftは「移動」と「削除」を区別しません。前者を実行するには、必然的に後者を実行する必要があるためです。

AD内のユーザーアカウント/オブジェクトの誤った削除を防ぎたい場合は、ADUCのユーザーの[オブジェクト]タブで手動で"Protect object from accidental deletion"に設定できます。

enter image description here

または、AD内のすべてのユーザーオブジェクトに対して一度にスクリプトを作成できます。

Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
11
voretaq7

Voretaq7はあなたの特定の質問に良い答えを提供しました(ADは区別しません)が、あなたがどれだけ余分な仕事をしたいかに応じて、あなたが望むことは可能であることを付け加えたいと思います。

これを行う方法には、ヘルプデスクのユーザーに、このサービスアカウントとして直接ログインせずに、実際よりも高い特権を持つサービスアカウントで機能を実行するための特定の委任されたアクセス許可を与えることが含まれます。

それらはすべて、例外処理と許可された入力に細心の注意を払って、ユーザーがサービスアカウントのより高い特権を悪用する予期しない入力を提供できないようにすることも含みます。

たとえば、次のことができます。

  • 「ユーザーを移動する」や「アカウントを無効にする」などの事前に作成されたオプションを使用して、ユーザーにWebページにログインさせます。その後、入力はサーバーに送信され、サービスアカウントによるアクションが開始されます(たとえば、「ソースの表示」を使用してサービスアカウントの資格情報を取得できるように、Webページコードに関数を含めないでください)。
  • PowerShellセッション構成 を使用します。これらを使用すると、あるユーザーまたはグループの権限を委任して、特定のコマンドを別のユーザーまたはグループとして呼び出すことができます(以下のLinuxルート委任のように)。 Move-ADObject は、ここで関心のあるコマンドレットです。過度の特権がないため、呼び出せるアカウントに注意してください(つまり、ドメイン管理者ではないので、ドメイン管理者は必要ありません。 DCをランダムに動かします!)

参考までに、Linuxにはこれに似たものがあり、ユーザーは特定のコマンドで特定のことを行うための制限されたsu特権を持っていると思います(「ルート委任」のグーグルでいくつかのリソースを見つけました)。

1
Bruno