Active Directoryで管理タスクを委任する

Habraミーティング中に11の異なるシナリオについて話したという事実を考慮して、もちろん、これらの各ポイントについてさらに詳しく説明したいと思います。 つまり、この記事から始めて、以前のレポートで議論されたポイントのほとんどを検討します。 だから...

比較的最近、Windows Live Messengerで、Active Directoryの管理権限の委任に関連するいくつかの質問がありました。 ただし、このトピックに関する質問自体に移る前に、委任とは何か、またその目的は文字通り簡単に説明します。

Active Directoryオブジェクトの委任

ほとんどすべての組織では、IT部門に複数の管理者が含まれており、さまざまな管理タスクを管理者間、たとえばサポートサービスメンバー間で分散する必要があることは明らかです。 たとえば、この例のように、サポートユニットの従業員がコンピューターをドメインに追加する必要があるとします。 ただし、このようなユーザーのグループは、許可したい操作以外の操作を実行できないようにする必要があります。

ただし、ユーザー、グループ、またはコンピューター、つまりセキュリティプリンシパルに割り当てることができるアクセス許可は、アクセス制御エントリ（ACE） エントリと呼ばれます 。 したがって、ACLを使用して、オブジェクトのアクセス許可が変更されます。 Active Directoryユーザーとコンピューターなどのスナップイン、 Active Directory管理センター 、およびActive Directoryサイトとサービス 、 ADSIエディターなどのスナップインとツールを使用して、ACLを直接表示できます。また、 「LDP」 （一部のツールについては、この記事の後半で詳しく説明します）。 ADオブジェクトのアクセス制御許可について説明する場合、それらは標準の許可と特別な許可に分けられることにすぐ注意してください。 特別な許可は、特定のオブジェクトに適用される詳細なオプションであり、標準のアクセス許可は、特定の機能を許可または反対に禁止する一連の特別な許可で既に構成されています。 例としてのみ、 読み取りなどの標準的なアクセス許可を選択できます。実際には、 読み取りアクセス許可 、 コンテンツのリスト 、およびすべてのプロパティの 読み取りなどの特別なアクセス許可のレコードが含まれているためです。 しかし、これは完全に異なるトピックです。

実際には、すべてのACEエントリは随意アクセス制御リストにあります。つまり、オリジナルでは、 随意アクセス制御リストのように聞こえますが、より簡単にはDACLリストにあります。 これは、オブジェクトに対する各セキュリティプリンシパルのアクセス許可を定義するアクセス制御エントリのリストです。 次に、オブジェクトに追加される各セキュリティプリンシパルは、特定のユーザーまたはユーザーのグループがオブジェクト自体で特定の操作を実行できることを示すアクセス許可のリストを受け取ります。 ここでは、明示的に割り当てられたACEレコードは、継承されたACEレコードの前に常に評価されることに注意してください。 また、禁止エントリは常に許可エントリより優先されるという事実を常に考慮する必要があります。

DACL自体はオブジェクト自体のACLのコンポーネントであり、 システムアクセス制御リスト 、つまりシステムアクセス制御リストSACLも含まれています 。 このリストは、すべてのセキュリティプリンシパルと監査を実行する必要がある操作を含む、施設の監査パラメーターを定義します。

したがって、このセクション自体のトピックに戻ると、 管理タスクの委任は 、Active Directoryで作成されたセキュリティプリンシパルの親オブジェクトのアクセス許可の継承と呼ばれます。

管理委任の例

実行する必要のあるタスクの1つは次のとおりです。特定のユーザーグループ（たとえば技術担当者）にドメインをコンピューターに追加し、これらのコンピューターを異なる部門に配布する機会を提供する必要がありました。 原則として、このタスクは些細なことと呼ぶことができますが、条件を少し変更してより面白くします。 既定の設定では、各ユーザーはコンピューターをドメインに参加できるため、この状況を修正して、セキュリティサポートグループのメンバーであるユーザーのみがコンピューターをドメインに参加できるようにします。 したがって、次の手順を実行する必要があります。

1. まず、ドメインコントローラーでActive Directoryユーザーとコンピュータースナップインを開きます。 ここでは、グローバルセキュリティグループを作成する必要があります。そのグループのメンバーは、ユーザーコンピューターをドメインに参加させることができます。 つまり、このグループは次のようになります。
   
   
   
   
   
   図 1.コンピューターをドメインに参加させるグループのプロパティ
2. 次の手順では、前の手順で作成したグローバルセキュリティグループ内のユーザーのみがコンピューターをドメインに参加できることを示します。 これを行うには、グループポリシー管理スナップインを開き、 「ドメインコントローラー」部門にあるデフォルトGPO「 デフォルトドメインコントローラーポリシー 」のGPMEエディターに移動します。
   
   表示されるスナップインで、 「コンピューターの構成\ポリシー\ Windows構成\セキュリティ設定\ローカルポリシー\ユーザー権利の割り当て」ノードに移動し、 「 ドメインへのワークステーションの追加」というポリシー設定をローカライズします。 このポリシー設定のダイアログボックスを開くと、既定でAuthenticated Usersグループが指定されていることがすぐにわかります。これにより、各ユーザーがコンピューターをドメインに参加させることができます。 サポートセキュリティグループのユーザーのみがコンピューターをドメインに参加できるようにするには、既定でこのポリシーポリシーで指定されたグループを削除し、 [ユーザーまたはグループの追加]ボタンとActive Directoryオブジェクト検索ダイアログを使用する必要があります。以前に作成したグローバルセキュリティグループを追加します。 このようなグループを追加するプロセスを次の図に示します。
   
   
   
   
   
   図 2.コンピューターをドメインに参加させるグループを変更します
3. さて、少し前に委任が実行されるシナリオで説明されていたにもかかわらず、ほとんどの場合、組織単位レベルで委任が実行され、この場合、コンピューターをドメインに参加させる機能を提供するために、 Active Directoryユーザーとコンピュータースナップインを使用する必要があります»ドメインレベル全体に対して、委任ウィザードを直接呼び出します。 したがって、 Active Directoryユーザーとコンピュータースナップインでは、以下に示すように、スナップイン自体のツリー領域でドメインのコンテキストメニューを呼び出し、[ 管理の委任 ]オプションを選択する必要があります。
   
   
   
   
   
   図 3.委任管理ウィザードを呼び出す
4. ウィザードの最初のページでは、このツールのメインタスクを簡単に理解できます。最初のページではアクションを実行できないため、[ 次へ ]ボタンをクリックするだけです。 ウィザードの2ページ目の[ ユーザーとグループ]ページで、制御を委任するグループをローカライズする必要があります。 この例では、次の図に示すように、 「追加」ボタンをクリックし、適切なダイアログを使用して「サポート」グループを選択します。
   
   
   
   
   
   図 4.制御の委任が実行されるグループの追加
   
   グループを追加した後、ウィザードの次のページに進むには、 「次へ」ボタンをクリックします。
5. [ 委任されたタスク]ページでは、ウィザードの前のページで追加されたユーザーまたはユーザーグループがActive Directoryドメインサービスで実行する特定の操作を指定できます。 この例では、コンピューターをドメインに参加させるタスクが委任されており、そのようなタスクは提供されている一般的なタスクのリストにあるため、 「コンピューターをドメインに参加させる」タスクの横にあるチェックボックスをオンにして、 「次へ」ボタンをクリックする必要があります。 このウィザードでは、このリストに表示されるタスクだけでなく、ここで特定のタスクをすぐに見つけることができない場合、委任のための特別なタスクを作成する必要があるという事実に注意を払う価値があります。 特別なタスクの作成についてはこの記事の後半で説明し、コンピューターをドメインに参加させるタスクの委任を次の図に示します。
   
   
   
   
   
   図 5.サポートグループのメンバーのコンピューターをドメインに参加させるタスクの委任
6. 最後のページで、ウィザードは、ウィザードの作業が正常に完了し、特定のユーザーグループに制御が移されてコンピューターがドメインに参加したことを再通知します。
   
   
   
   
   
   図 6.管理委任プロセスの完了

現在、これらのすべてのアクションが完了した後、以前に作成されたグローバルサポートセキュリティグループのメンバーであるユーザーのみがコンピューターをドメインに参加できます。

委任が許可されているタスクを特定する

特定のセキュリティグループのドメインにコンピューターを参加させる機会が与えられた直後に、「以前に委任されたタスクを何らかの方法で表示できますか？」という質問が生まれました。 ここでの答えは簡単です：表示することができ、唯一の方法からはほど遠いです。 1つの記事のフレームワーク内で委任が委任されたタスクを表示するためのすべての可能なオプションを検討するのは無意味です。したがって、この記事の後半でいくつかの基本的なオプションを示します。

1. 最初の方法は、Active Directoryユーザーとコンピュータースナップインを使用することです。 まず、委任されたタスクを表示するには、 [表示 ]メニューでスナップインの追加コンポーネントの表示を有効にする必要があります。 その後、委任が実行された組織単位のプロパティのダイアログボックスに移動します。 前のセクションでドメインレベル全体に対して委任が実行されたため、この例ではドメインプロパティダイアログボックスを開きます。
   
   表示されるダイアログボックスで[ セキュリティ ]タブに移動し、そこから追加のセキュリティ設定のダイアログボックスを呼び出します。 ここでは、表示されるダイアログで、デフォルトと委任ウィザードを使用して設定されたすべてのACEエントリを見つけることができます。 たとえば、次の図は、サポートグループにアクセス許可が追加されたことを示しています。これにより、 コンピューターオブジェクトを作成できます。
   
   
   
   
   
   図 7.サポートグループの委任タスクを表示する
   
   必要に応じて、現在のグループのアクセス許可を変更することも、必要に応じて完全に削除することもできます。
2. 次に、より洗練された方法、つまりLDP.exeの使用を検討します。 今回は、次のことを行う必要があります。
   
   次の図に示すように、LDPツールを開き、[ 接続 ]メニューを使用してポート389でドメインコントローラーに接続します。
   
   
   
   
   
   図 8.ドメインコントローラーに接続する
   
   その後、 「接続」メニューから同じ名前のコマンドを使用してバインドする必要があります。 現時点では、管理者としてログインしているため、資格情報を入力できず、表示された[ バインド ]ダイアログボックスの[ OK ]ボタンをすぐにクリックできます（以下を参照）。
   
   
   
   
   
   図 9.バインド
   
   これで、 「表示」メニューから「ツリー」コマンドを選択して、必要な部門に接続するか、すぐにドメイン全体に接続できます。 ドメイン全体を参照する場合は、フィールドを空のままにしてかまいませんが、特定の部門を参照する場合は、「OU = OU名、DN =ドメイン...」の形式で識別名を指定する必要があります。
   
   次に、委任が許可されたユーザーを確認するには、ツリービューで構造全体を確認する必要があります。 言い換えると、 「表示」メニューから 「ツリー」コマンドを選択し、 表示される「ツリー」ダイアログボックスでベースの展開可能な名前を指定します（または、上記の例ではドメイン全体を表示する必要があるため、このテキストボックスを空のままにしておくことができます）。
   
   すでにツリーの使い慣れた領域で、ユニット、チェックする権利の付与を選択し、コンテキストメニューから[ 詳細]および[ セキュリティ記述子 ]コマンドを選択する必要があります。 表示されるダイアログボックスで、次の図に示すように、正しいDNが選択されていること、および「ACLリスト」オプションがチェックされていることを確認します。
   
   
   
   
   
   図 10.セキュリティ記述子ダイアログを開く
   
   表示されるダイアログで、特定の権限が付与されているすべてのグループとユーザーを表示できます。 必要に応じて、適切なボタンを使用して委任された権限を編集または削除することもできます。 次の図に、セキュリティ記述子のダイアログボックスと委任されたアクセス許可の編集ボックスを示します。
   
   
   
   
   
   図 11.サポートグループの委任された権限を表示および変更する
3. 3番目のオプションは、ある程度、より現代的と呼ぶことができます。これは、同じサポートグループに割り当てられたアクセス許可を決定するためです。ただし、 Active Directory管理センタースナップインを使用します。 これを行うには、このツールを開き、委任が付与されたユーザーを確認するスナップインツリーでユニットを選択し、コンテキストメニューから直接、たとえば次の図に示すように、選択したオブジェクトのプロパティに移動します。
   
   
   
   
   
   図 12.選択したオブジェクトのプロパティに移動します
   
   Active Directoryユーザーとコンピュータースナップインを使用した後、すぐに何をする必要があるかを決定できます。 表示されるダイアログボックスで、[ アクセス許可 ]グループに移動し、目的のグループを選択して、追加のセキュリティ設定ダイアログに移動するだけです。 許可グループは以下に表示されます。
   
   
   
   
   
   図 13.セキュリティグループのアクセス許可をサポートする
4. コマンドラインが好きなら、誰もあなたを制限しません。 Active Directoryでユーザーアクションを制御できるアクセス許可を表示するために、 DSACLSなどのコマンドラインユーティリティが提供されています。 多くの場合、このコマンドはオブジェクトの識別名を使用して実行されます。 たとえば、ドメイン全体へのアクセス許可を持っている人を見つけるには、次のコマンドを実行する必要があります。
   
   DSACLS DC = 331zone、DC = com
   
   コマンドの結果を次の図に示します。
   
   
   
   
   
   図 14.コマンドラインツールを使用したサポートグループの権限の確認

概して、管理権限の委任を表示するには少なくとも6つの方法がありますが、1つの記事で説明するのは無意味です。このトピックに興味がある場合は、これらの方法のほとんどを別のWebキャストで紹介できます。

ただし、コンピューターがドメインに参加し、構成されたアクセス許可を表示できるようにすることに加えて、次の小さなセクションで説明するもう1つの小さなタスクがあります。

部門間でオブジェクトを移動するための権限

この記事で検討する最後のタスクは、セキュリティグループ"Support"のユニット間でコンピューターオブジェクトを移動する許可の実装です。 前回は、制御の委任を使用してコンピューターをドメインに参加させるためのアクセス許可を実装していたため、今回は、このウィザードでこの問題の解決策を探す必要があります。 この問題を解決するには、GPOをこのコンテナーに関連付けることができず、サポートユニットの従業員がコンピューターを異なるユニットに分散する必要があることがわかっているため、コンピューターコンテナーのアクセス許可を編集する必要があります。

管理ウィザードの委任を開いてターゲットグループを追加すると、通常のタスクではこのようなアクションを実行できないことがわかります。 この場合、 委任のための特別なタスクのリストを使用してみてください。 表示されるダイアログボックスで、選択したコンテナー内のすべてのオブジェクトを委任する機会が与えられます（この場合、スイッチを「このフォルダー、その中の既存のオブジェクト、およびこのフォルダーに新しいオブジェクトを作成する」に設定する必要があります ）、および選択したオブジェクトのみに制御を転送する機能、対応するリストで見つけることができます（オプション「このフォルダ内の次のオブジェクトのみ」 ）。

使用可能なオブジェクトの中で、 「コンピューターオブジェクト」オプションのチェックボックスをオンにし、このリストの下で「このフォルダーから選択したオブジェクトを削除する」オプションのチェックボックスを設定します 。

次の図に、委任ウィザードのこのページのダイアログボックスを示します。





図 15.委任のための特別なタスクを作成するページ

その後、ウィザードの次のページの[ アクセス許可]ページで、[ 書き込み]アクセス許可が委任されていることを示す必要があります。これで十分です。

移動タスクは2つの部分に分けられるため（コンピューターコンテナーからオブジェクトを削除してから別のユニットでオブジェクトを作成する）、例として、コンピューターアカウント用に特別に作成されたユニットでオブジェクトを作成する方法を、必要な追加のセキュリティ設定を変更することで示しますユニット（同様のアクションについては前のセクションで説明しました）。

Active Directoryユーザーとコンピュータースナップインを閉じた場合は、追加コンポーネントの表示を有効にし、コンピューターアカウントを移動するユニットのプロパティダイアログボックスに移動する必要があります。 私の場合、これはクライアント部門です。

このユニットのプロパティダイアログボックスで、[ セキュリティ ]タブに移動し、[セキュリティの詳細設定]ダイアログボックスを開きます。 表示されるダイアログボックスで、以前に追加したグループをローカライズし、サポートグループの従業員がコンピューターをドメインに参加させることを許可する必要がありますが、オブジェクトの削除に関連する権限がないことを確認し、 「追加」ボタンをクリックして権限を変更するためのダイアログに移動します。

表示される[ コンピューターのアクセス許可項目 ]ダイアログボックスで、アクセス許可を適用するグループを追加する必要があります。 つまり、 「サブジェクトを選択」リンクをクリックし、適切なダイアログボックスを使用して「サポート」グループをローカライズします。 異なる内訳を持つ部門（たとえば、部門ごとのコンピューター）は以前に作成したユニット内に配置できるため、 [適用先]ドロップダウンリストから、オプションで[ このオブジェクトとすべての子オブジェクト ]を選択します。

必要な解像度を選択するだけです。 コンピューターの移動を許可する必要があります。つまり、このコンテナーとネストされたすべてのコンテナー内にオブジェクトが作成されることを意味するため、 「オブジェクトの作成：コンピューター」権限の隣のボックスをオンにして、すべての変更を保存する必要があります。 [ クライアントのアクセス許可要素 ]ダイアログボックスを以下に示します。





図 16.アクセス許可を追加してコンピューターオブジェクトを作成する

結論の代わりに

概して、権限の委任およびさまざまなセキュリティグループへの非標準のアクセス許可の割り当てに関連するより多くの例を考え出すことができ、ほとんどすべての例は独自の方法でユニークで興味深いと呼ぶことができます。 すべての管理者を任命するのではなく、特定のユーザーグループに特定のタスクを実行するためのアクセス許可を単に割り当てると、はるかに収益性が高くなることに注意してください。 この記事へのコメントに、委任を使用したかどうか、および遭遇した例や困難を経験した例を記入してください。