Active Directory 委派概述

了解 Active Directory (AD) 权限对于网络安全、合规性和业务连续性至关重要。在本博客中，我们将在较高级别上讨论如何在域中应用 Active Directory 权限以及如何在本机查看它们。

应用 Active Directory 权限的最常见方法是通过 Active Directory 用户和计算机 (ADUC) 工具。 ADUC中有两种申请权限的方式：

• 使用委派向导
• 导航到对象并将权限直接应用于该对象或其后代

这篇博文将涵盖这两个选项。更有经验的管理员或熟悉脚本编写的管理员可能会选择使用 PowerShell 应用和审查委派权限，但我们不会在本博客中介绍这一点。

Active Directory 委派向导

Active Directory 委派向导是一个易于使用的 UI，用于向用户或组授予执行特定任务的权限。让我们逐步了解作为管理员需要启用“帮助台”组为特定 OU 中的所有用户提供密码重置服务的步骤。

1. 右键单击 OU 或容器并选择“委派控制...”来启动向导。

Active Directory 控制委派向导将打开：

2. 向导中的第一步是选择我们要授予权限的用户或组：

3. 接下来，我们指定这些对象应该能够执行哪些任务。我们可以从常见任务列表中进行选择，也可以创建自定义任务来委派他们执行的访问权限。在本示例中，我们将继续使用我们提到的场景，重置用户密码。

4. 最后，您需要点击完成：确认您的选择

正如您所看到的，我们已向“帮助台”组授予“SB 测试区域”OU 的所有后代用户“重置用户密码并在下次登录时强制更改密码”的权利。

安全选项卡

审查权限

为了确认我们在委派向导中指定的权限已正确应用，我们将检查“SB Test Area”OU 的“安全”选项卡。

1. 要查看对象的“安全”选项卡，您需要通过从查看下拉菜单中选择“高级功能”来启用 ADUC 中的高级功能：

2.接下来，右键单击SB Test Area OU并选择“属性”；然后转到安全选项卡：

3. 此选项卡向我们显示 SB 测试区域对象的访问控制列表 (ACL)，其中包含访问控制条目 (ACE)。如果我们查看已应用于 SB Test Area OU ACL 的组和用户帐户，我们可以找到我们添加的 Help Desk 组：

4. 我们可以看到该帐户被授予了“特殊权限”，因此要查看我们应用的安全权限，我们必须单击“高级”。我们可以在下面的屏幕截图中看到，“Help Desk”主体的 ACE 正在向 SB 测试区域 OU 的“后代用户对象”授予“重置密码”权限。

5. 点击编辑这里让我们回顾一下 SB 测试区 OU 上帮助台负责人的 ACE。

从上面我们可以看到，我们授予 SB 测试区 OU 上的帮助台帐户的权限只是“重置密码”。

直接申请权限

现在我们已经了解了如何使用委派向导应用权限，接下来我们将介绍如何直接从“安全”选项卡应用权限。

假设我们要授予我的帐户修改某个 OU 中的组成员的权限。

1. 我们右键单击所需的 OU (KevinJSandbox)，转到“属性”，然后打开“安全”选项卡：

2. 我们向下滚动并选择我们的帐户名 Kevin Joyce：

3. 然后我们单击“添加...”，如您所见，这授予了我的帐户对 KevinJSandbox OU 的“读取”访问权限，但我们无法从此界面中精细地允许组修改。为此，我们必须单击“高级”。然后我们在 ACE 上单击我们刚刚授予访问权限的对象的“编辑”：

4. 我们可以看到添加我的用户帐户时创建的默认ACE；它只允许列出内容、读取所有属性以及读取 KevinJSandbox 对象的权限。我们将对此进行修改，以便我们还可以修改 KevinJSandbox OU 中后代组的成员资格。为此，首先，我们需要从“适用于”下拉列表中选择“后代组对象”：

允许应用的权限列表根据“应用于”字段中选择的对象而变化：

5. 从上面的列表中可以看到，权限条目下没有“修改组成员资格”权限。要授予主体仅修改组的组成员的能力，我们需要向下滚动并选择“写入成员”属性，如以下屏幕截图所示：

结论

正如您所看到的，理解、应用、分析和删除 Active Directory 权限可能非常复杂。但是，有一些工具可以帮助您进行权限管理和审核。特别是，请务必查看 Netwrix Active Directory 安全解决方案。

常问问题

什么是 Active Directory 委派？

通过委派管理权限，您可以授予用户执行需要提升权限的任务的权限，而无需将他们分配给域管理员和帐户操作员等高特权组。

如何在 Active Directory 中委派管理员权限？

要委派 Active Directory 权限，请打开 Active Directory 用户和计算机控制台，然后通过右键单击组织单位 (OU) 或容器并选择“委派控制...”来启动 AD 委派向导。

如何检查 Active Directory 中的委派？

在“用户和计算机”控制台中，转到“查看”菜单并确保选中“高级功能”。然后右键单击 OU，选择“属性”并转到“安全”选项卡以查看委派的权限。