Делегируем права в домене на сброс паролей и разблокировку учётных записей.

Posted by

В текущей заметке я пошагово распишу, как делегировать для Ваших младших системных администраторов, права на разблокировку учётных записей так и на их изменение пароля. Все дальнейшие действия я буду производить на доме polygon.local на базе операционной системы Windows R2 Standard.

Итак, заходим на домен контроллер (dc1.polygon.local) под учётной записью (ekzorchik) обладающей правами Domain Admins (Администраторы домена), проверяем, что это действительно так, в командной строке запустите следующую команду:

C:\Windows\system32>whoami

polygon\ekzorchik

 

Запускаем оснастку управления Users and Computers:

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Users and Computers», далее создадим группу в которую будут входить делегированные системные администраторы которым предоставим права: разблокировка учётных записей и смена паролей.

Назовём её: IT_DelegateAdmin

Открываем наш домен, правой кнопкой мыши на контейнере IT (в него входят все пользователи) запускаем пункт настройки “Delegate Control

См. скриншот для наглядности.

Запускаем мастер настройки делегирования (Delegate Control).

 

 

 

 

 

Нажимаем «Next» (Продолжить) – Выбираем пользователя или группу кому предоставляем права, в нашем случае это будет созданная группа “IT_DelegateAdmin«.

Предоставляем права созданной группе: IT_DelegateAdmin

 

 

 

 

Продолжаем, нажав «Next»

«Create a custom task to delegate» – «Only the following objects in the folder» – выбираем пункт “User objects

Выбираем пункт "User Objects".

 

 

 

 

 

 

 

 

Отмечаем, какие предоставляемые разрешения нужно будет дать:

«General» + «Property-specific»

Отмечаем в каких контекстах будет предоставлять права.

 

 

 

 

 

Следует поставить галочки у следующих пунктов:

Reset Password

Read pwdLastSet

Write pwdLastSet

Read userAccountControl

Write userAccountControl

Вот собственно и всё, нажимаем Next и Finish. Теперь, чтобы проверить, что у нас всё работоспособно, следует на рабочих станциях Ваших делегированных администраторах установить пакет под названием AdminPack, применительно к:

Windows XP: http://www.microsoft.com/en-us/download/confirmation.aspx?id=16770

Windows 7: Установка AdminPack for Windows 7 x86 / x64.

И запустить оснастку «Start» – «Control Panel» – «Administrative Tools» -«Active Directory Users and Computers», выбрать контейнер и на внутренних пользователях произвести требуемые действия: разблокировка учётных записей или смена пароля.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

четыре − 2 =