Active Directory creare una delega amministrativa per sbloccare gli utenti
Active Directory consente di gestire la suddivisione delle attività tra vari utenti mediante le deleghe amministrative che è possibile impostare su Unità Organizzative, questo approccio è quello suggerito per implementare il Role-Based Access Controls (RBAC) in Active Directory in osservanza dei modelli amministrativi di tipo Least-Priviledge come indicato in Implementing Least-Privilege Administrative Models:
“Generally speaking, role-based access controls (RBAC) are a mechanism for grouping users and providing access to resources based on business rules. In the case of Active Directory, implementing RBAC for AD DS is the process of creating roles to which rights and permissions are delegated to allow members of the role to perform day-to-day administrative tasks without granting them excessive privilege.”
Nel caso si desideri concedere ad alcuni utenti il diritto di sbloccare account bloccati in una determinata OU si può procedere nel seguente modo:
Passo 1: Creare per gli utenti che svolgeranno tale operazione sugli account utente degli account utente specifici per eseguire queste attività amministrative
In questo modo gli utenti non utilizzeranno l’account utente con cui lavorano normalmente per eseguire le attività amministrative.
Quindi se ad esempio per l’utente Mario Rossi che normalmente si autentica con l’account rossi.m@dominio.it verrà creato l’account adm-rossim@dominio.it con cui svolgerà attività amministrative.
Passo 2: Creare un gruppo di sicurezza su cui definire la delega amministrativa e assegnare a tale gruppo gli account utente che eseguiranno le attività amministrative
Per esempio creare un gruppo Delegated Admins – AD Users Tasks di cui sarà membro adm-rossim@dominio.it.
Passo 3: Impostare sull’OU che conterrà gli utenti una delega amministrativa per il gruppo di sicurezza custom
Passo 4: Impostare gli oggetti utente come oggetti dell’OU su cui la delega avrà effetto
Passo 5: Concedere i diritti di lettura e scrittura sull’attributo lockoutTime
La possibilità di poter leggere e scrivere l’attributo lockoutTime consentirà di sbloccare gli oggetti account utente.
Passo 6: Installare sui computer degli utenti che svolgeranno le attività amministrative i Remote Server Administration Tools (RSAT)
Gli RSAT rendono disponibili su sistemi operativi come Windows Vista e successivi i tool e le console di gestione console di gestione come ad esempio Utenti e computer di Active Directory (dsa.msc) tramite cui gli utenti amministratori potranno svolgere svolgere il task amministrativo dio sblocco degli account utnete.
Per informazioni sugli RSAT si veda la KB 2693643 Remote Server Administration Tools (RSAT) for Windows operating systems.
Conclusioni
Con tale tipo di approccio è possibile intervenire in modo granulare per concedere specifici task amministrativi che potranno poi essere rimossi o modificati, se necessario, andando ad agire sulle impostazioni di sicurezza della OU relative al gruppo su cui è stata o sono state configurare le deleghe, si noti che ogni volta che viene configurata una delega verrà creata un’impostazione di sicurezza.
Per ulteriori informazioni si vedano: