Active-Directory

限制非特定 OU 的使用者的組成員資格

  • April 18, 2016

我需要配置兩種可以管理 AD 使用者和安全組的使用者:

  • 類型 1 - 只能在特定 OU 中創建使用者。
  • 類型 2 - 只能更改在上述 OU 中創建的使用者的組成員身份。

我是根據委派控制功能來做的。想法是沒有單一的信任點來創建使用者並將其添加到安全組,因此該操作至少需要 2 人。

類型 1使用者的一切都很清楚。我剛剛為使用者帳戶配置了委派控制,並設法在僅設置 OU(即操作員)中創建使用者。

對於類型 2,它變得更加複雜,因為正如我所注意到的,它不是與使用者相關聯的組,而是與組相關聯的使用者。我只能更改 1 個 OU(即 Operators 組)的組成員身份,但我可以將任何使用者添加到該 OU 中的組。這意味著負責修改組成員身份的使用者可以將自己添加到我不接受的任何組中,因為只有類型 1使用者創建的使用者才能添加到類型 2使用者控制的安全組中。

從理論上講,我只看到瞭如何實施的正確解決方案,即限制安全組或 OU 級別以修改不允許 OU 中的使用者的組成員身份,但是我正在Google搜尋和調查 Microsoft 知識庫,但無法找到任何足夠的資訊如何做到這一點。

也許有人知道這是如何實現的,或者可以建議我如何實現必要的配置?

負責修改組成員的使用者可以將自己添加到任何組

當然。這是設計使然。Active Directory 中組和組成員之間的連結關係使得從組到使用者的前向連結是可寫的(成員屬性),而從使用者到組的反向連結( memberOf屬性)是內部計算的並且是只讀的。您不能委派編輯使用者的 memberOf 屬性的能力。有關如何儲存的更多資訊,請參見Florian 的部落格

這種情況的含義:組成員資格由使用者編輯的能力控制,而不是要添加到組的目標使用者。這通常是因為組由組織內的特定人員或團隊“擁有”,因為它控制對該團隊特權資源的訪問。因此,該團隊指定的安全主管應有權決定組織的哪些成員被授予該組授予的權限。這是一個自主訪問控制策略。

**學習點:**您不能委派對組的控制,這樣使用者只能添加來自特定 OU 的成員。


我怎樣才能使這項工作?

您期望的最終目標描述了強制自由訪問控制策略的組合:

  • 強制:只允許使用者添加來自特定 OU 的使用者
  • 自由裁量權:使用者應自行決定該 OU 中的哪些使用者屬於他們的組

由於我在開頭概述的原因,使用預設的 Active Directory 委派機制是不可能的。任何合適的實現都需要是一個非技術(即策略)系統,或者是一個單獨的基礎,使用者可以通過以下方式更改他們的組成員身份:

政策

讓所有員工意識到他們應該只將其受控 OU 中的成員添加到他們的委派組中。設置自動報告以監控違反此政策的行為,並自動更正它們(通過刪除違規使用者)或向相關當局發送電子郵件通知。

定制軟體

不要將控制權委派給使用者直接編輯組成員資格。相反,請使用第三方軟體包(您可以自定義開發)。軟體包被委派控制以編輯任何受管組。在代表使用者進行更改之前,它可以健全地檢查使用者選擇的要添加的使用者(通過根據 ACL 檢查 OU 等)。

複雜的 ACL 設置

您可以設想一種翻轉邏輯的情況——為每個 OU 創建兩個組:

  1. OU 組:第一個組包含OU 中的每個人。未委派對此組的控制權。
  2. OU 拒絕組:第二個組包含應該被拒絕訪問該 OU 資源的使用者。對這個組的控制是委託的。預設情況下,新使用者會添加到該組(策略決定)。

在資源上創建 ACL 時,添加具有完全訪問權限的 OU 組,以及將所有 ACE 設置為拒絕的拒絕組。委派的權限意味著最終使用者可以拒絕訪問他們選擇的任何人(來自任何 OU)。這不會破壞模型,因為使用者需要允許權限才能獲得訪問權限,並且這些權限僅可從您未委派修改權限的OU 組中獲得。

這在多個方面並不理想:

  • RBAC:我沒有講過基於角色的訪問控制,推薦但是這個簡單的方法忽略了講。
  • 顯式拒絕隱式拒絕更可取:我們的訪問權限變得不必要地複雜,我們的拒絕權限是顯式的而不是隱式的,如果我們不了解預設值之間的複雜相互作用,我們很容易陷入使用者在不知不覺中被授予訪問權限的情況和拒絕組。

我建議您執行以下操作之一:

  • 重新考慮你的問題
  • 重新評估您的資源,使其與 OU 無關
  • 沿著部門線將您的環境分成多個域(提供更多粒度)
  • 集中式 ACL 管理
  • 實施適當的政策來管理和/或審核授予權限的過程
  • 使用第三方軟體來管理您的組成員資格,這了解您的組織需要執行的策略的特定語義

引用自:https://serverfault.com/questions/771157