Как тонко настроить права в AD? Дать возможность перемещение в OU, создание без прав на удаление?

Question

[UlarSur]

- Как предоставить права группе на создание подразделение, пользователя, OU но без прав на удаление. Был случай когда удалили 2000 учетных записей, этого хотелось бы избежать. Права делегируется, но перемещение внутри OU недоступно на которое делегировались права, но права на создание (оно работает).
- Второе когда предоставляю права на сброс, на смену, на разблокировку одной группе, члены этой группы не могут сбрасывать сами себе пароли, но могут другим пользователям которые не состоят в этой группе, и другим членом этой же группе тоже не могут, причина не понятно. Я находясь в группе Help Desk у которой есть права на сброс, смену не могу сбросить пароль себе, и другим членам этой группы.

Comments

[Роман Безруков]

предоставить права группе на создание подразделение, пользователя, OU

делегируете права на создание объектов AD (Create Object, Create Selected objects in this folder)

перемещение внутри OU

внутри одного OU существуют другие OU и объект перемещается между этими OU? Операция перемещения предполагает копирование объекта в целевой OU и удаление в исходном OU, т.е. нужны права на удаление объекта. При перемещении у объекта меняется Distinguished Name, ибо оно должно быть уникальным.

члены этой группы не могут сбрасывать сами себе пароли

что происходит у таких пользователей при попытке самостоятельно сменить пароль через Ctrl+Alt+Del ? С наследованием прав все в порядке? По пути там нигде наследование не отключается? У пользователей группы Help Desk какое значение у атрибута AdminCount?

Я находясь в группе Help Desk

какие эффективные права имеете для OU,в котором живет группа Help Desk?

Что есть в системных журналах и журналах соответствующих служб?

[UlarSur]

Роман Безруков, Самостоятельная смена паролей работает. Я имел в виду что Help Desk это ведь группа пользователей которые отрабатывают заявки, они через оснастку не могут друг друга сбросить пароли.

[Роман Безруков]

UlarSur, это я понял. AdminCount и эффективные права посмотрели?

[UlarSur]

Роман Безруков, C этим вопросом я разобрался методом тыка. Обратил внимание что у каждой учетной записью у которой проблемы с правами во вкладке безопасность отсутствуют группы на которую я делегировал права. По ходу дела выяснилось что проблемы только с конкретными учетными записями, помимо добавления этой группы в безопасность, так же методом тыка нашел что в разрешениях должна быть галочка на чтение и запись "Ограничения учетной записи", после этого теперь все работает как должно. Учетные записи технические могут сбрасывать друг другу пароли, и у некоторых проблемных учеток был выставлен админ коунт на ноль. Но есть такой нюанс, можно ли так делегировать права ? Должен ли был я добавлять группу на которую делегировал права во вкладе "безопасность" на каждую проблемную учетную запись и разве так делается и правильно ли это ?

Теперь другой вопрос, я добавил права на добавление оборудования в домен, но выводить и добавлять хоть и удается, но не удается переименовать компьютер в домене ? Не хочется опять методом тыка искать, может вы что годное подскажете ?

[Роман Безруков]

UlarSur, по сбросу паролей - на первый взгляд, права не наследуются по дереву.
по переименованию - можно сначала переименовывать, потом закидывать в домен. А так - это права на изменение объектов "Компьютер"

[UlarSur]

Роман Безруков, Права на изменение обьектов Компьютер ? Если быть точным я захожу в OU компьютеры, и там добавляю свою группу и делегирую права и какие мне разрешения необходимо выставить чтобы у пользователя были права на переименования компьютеров ?

[UlarSur]

Роман Безруков, Права на изменение обьектов Компьютер ? Если быть точным я захожу в OU компьютеры, и там добавляю свою группу и делегирую права и какие мне разрешения необходимо выставить чтобы у пользователя были права на переименования компьютеров ?

[Роман Безруков]

UlarSur, погодите - вы в ADUC хотите переименовывать? так не делается - либо PowerShell, либо локальным админом на самом компе, либо сначала переименовывать, потом закидывать в домен

[UlarSur]

Роман Безруков, Нет, я хочу чтобы у ограниченного количества пользователя были права на смену хостнейма компьютера находясь за компьютером.

[Роман Безруков]

UlarSur, локальные администраторы на компе могут переименовывать

[UlarSur]

Роман Безруков, когда компьютер находится в домене, он запрашивает доменные учетные записи.

[Роман Безруков]

UlarSur, доменные учетные записи можно включить в группу локальных администраторов - делается это через GPO и группы с ограниченным доступом (Restricted Groups)

[UlarSur]

Роман Безруков, в том то и дело что оно сделано и учетная запись с помощью которой я меняю хостнейм выдает мне конфликт и пишет что отказано в доступе.