Active Directory 中的委派控制（分步指南）

您是否需要授予帮助台工作人员重置密码和解锁用户帐户的权限？

您想允许特定用户修改组成员身份吗？

没问题。

在本指南中，您将了解如何使用 Active Directory 中的委派控制向导向用户授予非常具体的权限。

了解如何正确使用 Active Directory 中的控制委派以避免为用户提供超出其需要的权限非常重要。无论您做什么，都不要将用户添加到域管理员等高特权组中。

目录：

• 控制权委派最佳实践
• 委托密码重置和解锁权限
• 委托修改电话号码的权限
• 委派修改组成员资格的权限
• 委托控制删除计算机帐户
• 如何审核 Active Directory (ACL) 权限

控制权委派最佳实践

以下是我在 Active Directory 中委派权限的建议和技巧。

良好的OU设计

Active Directory 中的权限委派是通过使用组织单位 (OU) 来完成的，因此良好的 OU 设计至关重要。每个组织的 OU 设计都会有所不同，但一个简单的设计是将所有类似的资源放入自己的 OU 中。

• 计算机 OU - 所有计算机都放在这里
• 用户 OU - 所有用户帐户均位于此处
• 服务器 OU - 所有服务器帐户都位于此处
• 团体 - 所有团体都到这里。

然后，您可以创建子 OU 来进一步组织您的资源。

在上面的屏幕截图中，我的所有用户帐户都有“ADPRO Users”OU。然后，我为每个部门创建了子 OU，以进一步组织用户帐户。通过这种设计，我可以轻松地将控制权委托给所有资源或特定子 OU 中的资源。例如，HR 聘请了自己的 IT 支持人员，他们希望为所有 HR 用户重置密码。我可以将密码重置权限仅委托给 HR OU。

您可以按照您喜欢的任何方式构建子 OU。例如，您可以根据地理位置或用户类型（例如常规用户、特权用户等）来创建它们。

通过良好的 OU 设计，可以轻松委派权限，并有助于避免委派超出所需的权限。

要了解有关 OU 设计的更多信息，请参阅 Microsoft 指南设计有效的 OU 结构。

不要使用内置安全组

委派控制权时，最好创建新的安全组，而不是使用内置的 AD 组。例如，在委派权限时不要使用“帐户操作员”或“备份操作员”。这些内置 AD 组具有特殊权限，可以为用户提供超出所需的权限。

将控制权委托给组，而不是用户

不要将控制权委托给用户帐户。这将成为安全噩梦，因为审核和管理非常困难。将权限分配给组可以轻松添加和删除权限。

使用描述性组名称

您是否在 Active Directory 中遇到过一个组，但不知道它的用途？这种事经常发生，让我发疯。创建描述性名称将使您和其他管理员轻松识别其用途。

例如，如果帮助台想要重置用户密码，我将创建一个如下组：

帮助台_密码_重置

如果一组用户需要修改特定的 AD 属性（例如电话字段），我将创建一个如下组：

IT_修改_电话

您可以在上面的屏幕截图中看到，组名称和描述使任何人都可以轻松识别该组的用途。

提示：我还在群组描述中添加了详细信息。然后，我可以使用 PowerShell 搜索描述中具有“委托控制”的所有组。

get-adgroup -Properties * -filter {Description -like 'Delegate*'} | select name, description

每年审核 AD 委托控制

您应该每年检查 Active Directory ACL 权限。 AD 权限很容易失控，了解谁拥有哪些权限的唯一真正方法是审核 ACL 权限。

有关审核 Active Directory 权限的详细信息，请参阅本指南的最后一部分。

不要过度委托控制（使用租赁权限）

仅将控制权委托给需要的部分。

如果另一个部门想要重置自己的密码，请不要向他们的所有用户对象授予此权限，而是仅向他们的组或部门授予此权限。

如果帮助台需要删除计算机帐户的权限，请不要将此权限授予所有计算机对象，而应仅授予帮助台管理的对象（提示……而不是服务器）。

通过良好的 OU 设计可以轻松避免过度委派控制。

现在让我们看一些有关如何委派权限的示例。

委托密码重置和解锁权限

在此示例中，我将使用委派控制向导向帮助台用户授予重置密码和解锁用户帐户的权限。我还将演示如何将其限制为特定的用户组（部门）。

步骤 1：创建新的 Active Directory 组

我将创建一个新组并将其命名为“Helpdesk_password_reset”。使用任何对您有意义的命名约定，我只是建议它具有描述性。我还建议使用描述字段来提供有关该组用途的确切详细信息。填写描述性名称和描述后，就不会对该组的用途产生混淆，这将对您和其他系统管理员有所帮助。

接下来，我会将帮助台工作人员添加到该组中。委派完成后，您可以通过更改该组的成员身份轻松添加或删除权限。

第 2 步：使用控制向导委派

这就是良好的 OU 设计的重要性。我想授予该组更改域中所有用户密码的权限，并且由于我在“ADPro Users”OU 中拥有所有用户，因此可以轻松完成此操作。委派的权利将适用于根 OU 和所有子 OU。

右键单击 OU 并选择“委派控制”。

点击下一步”

选择您想要将控制权委派给的组。

点击下一步”

选择“创建要委派的自定义任务”

选择“仅文件夹中的以下对象”，然后选择“用户对象”

点击下一步”

选择“常规”和“特定属性”

然后启用以下权限：

• 更改密码
• 重设密码
• 读取锁定时间
• 写入锁定时间

点击下一步”

点击“完成”

现在，“Helpdesk_password_reset”组的任何成员都可以更改/重置“ADPRO 用户”OU 中所有用户的密码并解锁用户帐户。

如果您的部门想要重置/解锁自己的帐户怎么办？例如，人力资源部门希望重置/解锁自己的帐户，而无需致电 IT 支持。

步骤如下：（步骤与上面基本相同，只是在特定 OU 上运行委派控制）

1. 为 HR 用户创建一个新组（例如 HR_password_reset）。
2. 使用 HR OU 上的委派控制向导。
3. 选择 HR 组（例如 HR_password_reset）。
4. 设置权限（更改密码、重置密码、读取锁定时间、写入锁定时间）。有关更多详细信息，请参阅上面的屏幕截图。

如果您将控制权委派给整个域或包含所有用户的 OU，那么您授予 HR 员工的权限超出了他们的需要。他们可以重置/解锁整个域的用户，您希望避免这种情况。

委托修改电话号码的权限

在此示例中，我想授予一组用户仅修改 Active Directory 中的电话号码的权限。您将在控制委派向导中看到您可以向其他用户字段（地址、邮政编码、州等）授予权限。

第 1 步：创建一个群组。

我创建了一个名为“IT_Modify_Telephone”的组。

第 2 步：运行委派控制向导。

在目标 OU 上运行委派控制向导。

选择组。

选择“创建要委托的自定义任务”

选择“仅文件夹中的以下对象”，然后选择“用户对象”

选择“特定属性”

启用“读取电话号码”和“写入电话号码”

单击“下一步”，然后单击“完成”即可完成。

现在，该组的任何成员都可以修改 Active Directory 中的“电话号码”字段。所有其他字段都是只读的。

委派修改组成员资格的权限

在此示例中，我将授予一组用户修改组成员资格（向组添加/删除用户）的权限。

这个例子比前面的例子更容易，因为 Microsoft 有一个共同的任务。

第 1 步：创建 AD 组

第 2 步：运行委派控制向导

如果所有组都位于特定 OU 中，则在该 OU 上运行委派向导。例如，我的所有组都位于名为“ADPRO Groups”的 OU 中。

选择您想要将控制权委派给的组。

点击下一步”

选择“修改群组的群组成员身份”

单击“下一步”，然后单击“完成”。

委托控制删除计算机帐户

帮助台或其他 IT 员工通常需要删除 Active Directory 中的计算机帐户的权限。以下是如何委派这些权利。

第 1 步：创建 AD 组

例如“IT_delete_computers”。

步骤 2： 在 OU 上运行委派控制向导。

确保在包含计算机对象的 OU 上运行向导。

选择要委派控制的组

点击下一步”

选择“创建要委派的自定义任务”

选择“此文件夹、此文件夹中的现有对象以及此文件夹中的新对象的创建”。

点击下一步”

选择“创建/删除特定子对象”

然后选择“删除计算机对象”

现在所选组的成员可以删除计算机对象。

如何审核 Active Directory (ACL) 权限

随着时间的推移，Active Directory 权限很容易失控。建议每年至少审核一次您的 AD 权限。您还如何知道某人是否向用户或组授予了不必要的权限？

也许有人使用控制向导委派并意外授予帮助台删除服务器的权限。确定这一点的唯一方法是检查 Active Directory 中的 ACL 权限。

您可以通过右键单击 OU 选择“属性”和“安全”选项卡来查看 OU 上的 ACL。但如果您有很多 OU，这将花费很长时间。

我发现的最佳选择是 AD ACL 扫描仪 PowerShell 工具。该工具可让您选择扫描内容并创建易于阅读的 Active Directory 权限报告。

在此示例中，我将扫描我的 ADPRO 用户 OU，并扫描每个子 OU。

该工具完成扫描后，您将收到如下报告。

在报告中，我可以看到我委派控制权的 AD 组以及他们拥有的权限。非常易于使用并节省大量时间。

概括

在本指南中，我向您介绍了在 Active Directory 中委派控制权的几个示例。控制向导的委派可能会令人困惑，因为并不总是清楚在哪里可以找到特定权限。最好使用组来委派控制并设置非常具体的权限。最后，我向您展示了如何使用 AD ACL 扫描工具审核 Active Directory ACL 权限。不要忘记每年至少审核一次 ACL 权限。