Zadanie 4. Delegowanie zadań administracyjnych
Transkrypt
Zadanie 4. Delegowanie zadań administracyjnych
Zadanie 4. Delegowanie zadań administracyjnych W tym zadaniu będziemy zarządzać delegowaniem zadań administracyjnych w domenie contoso.com i przeglądać uzyskane zmiany list ACL dla obiektów Active Directory. Przed wykonaniem ćwiczeń w tym zadaniu należy wykonać zadanie z lekcji „Tworzenie i odnajdowanie obiektów w Active Directory”. Jednostki organizacyjne utworzone w tamtym zadaniu są wymagane do wykonania tych ćwiczeń. Ćwiczenie 1 Delegowanie kontroli do obsługi kont użytkowników W tym ćwiczeniu umożliwimy pracownikom helpdesku obsługę użytkowników przez zezwolenie na resetowanie haseł i odblokowywanie kont użytkowników w jednostce organizacyjnej Ludzie. 1. Zalogować się jako administrator na komputerze SERVER01 i otworzyć przystawkę Active Directory Users and Computers (Użytkownicy i komputery usługi Active Directory). 2. Rozwinąć węzeł domeny contoso.com, kliknąć prawym przyciskiem myszy jednostkę organizacyjną Ludzie i wybrać opcję Delegate Control (Deleguj kontrolę), aby wywołać okno Delegation Of Control Wizard (Kreator delegowania kontroli). 3. Kliknąć Next (Dalej). 4. Na stronie Users Or Groups (Użytkownicy lub grupy) kliknąć przycisk Add (Dodaj). 5. Korzystając z okna dialogowego Select (Wybieranie) wpisać Helpdesk, a następnie kliknąć OK. 6. Kliknąć Next (Dalej). 7. Na stronie Tasks To Delegate (Zadania do oddelegowania) należy zaznaczyć zadanie Reset User Passwords And Force Password Change At Next Logon (Resetowanie haseł użytkowników i wymuszanie zmiany hasła przy następnym logowaniu). 8. Kliknąć Next (Dalej). 9. Przejrzeć podsumowanie działań, które zostały wykonane i kliknąć Finish (Zakończ). Ćwiczenie 2. Przeglądanie oddelegowanych uprawnień W tym ćwiczeniu będziemy przeglądać uprawnienia przypisane grupie Helpdesk. 1. Zalogować się jako administrator na komputerze SERVER01 i otworzyć przystawkę Active Directory Users and Computers (Użytkownicy i komputery usługi Active Directory). 2. Kliknąć prawym przyciskiem myszy jednostkę organizacyjną Ludzie i wybrać Properties (Właściwości). Należy zwrócić uwagę, że karta Security (Zabezpieczenia) nie jest widoczna. Jeśli funkcja Advanced Features (Opcje zaawansowane) nie jest włączona, to karta Security (Zabezpieczenia) nie będzie widoczna w oknie dialogowym Properties (Właściwości) dla obiektu. 3. Kliknąć OK, aby zamknąć okno dialogowe Properties (Właściwości). 4. Kliknąć menu View (Widok) i zaznaczyć Advanced Features (Opcje zaawansowane). 5. Kliknąć prawym przyciskiem myszy jednostkę organizacyjną Ludzie i wybrać Properties (Właściwości). 6. Kliknąć kartę Security (Zabezpieczenia). 7. Kliknąć przycisk Advanced (Zaawansowane). 8. Na liście Permission Entries (Wpisy uprawnienia) należy zaznaczyć pierwsze uprawnienie przypisane grupie Helpdesk. 9. Kliknąć przycisk Edit (Edytuj). 10. W oknie dialogowym Permission Entry (Wpis uprawnienia) należy znaleźć przypisane uprawnienie, a następnie kliknąć OK, aby zamknąć to okno dialogowe. 11. Powtórzyć kroki 8 - 10 dla drugiego wpisu uprawnienia przypisanego do grupy Helpdesk. 12. Powtórzyć kroki 2 - 11, aby przejrzeć listę ACL użytkownika w jednostce organizacyjnej Ludzie i zbadać odziedziczone uprawnienia przypisane do grupy Helpdesk. 13. Otworzyć wiersz polecenia, wpisać dsacls ou=ludzie,dc=contoso,dc=com i nacisnąć Enter. 14. Znaleźć uprawnienia przypisane do grupy Helpdesk. Ćwiczenia praktyczne do samodzielnego wykonania Utrzymywanie kont Active Directory W tym ćwiczeniu sprawdzimy, czy oddelegowanie się powiodło i wypróbujemy, co się dzieje, gdy administrator spróbuje wykonać zadanie, które nie zostało oddelegowane. Doświadczymy też działania dziedziczenia i funkcji ochrony jednostek organizacyjnych. Aby wykonać te ćwiczenia, trzeba mieć wykonane ćwiczenia poprzednie. W szczególności należy upewnić się że: Istnieje konto użytkownika w jednostce organizacyjnej Admini. Istnieje grupa Helpdesk w jednostce organizacyjnej Admini. Istnieje konto użytkownika Barbara Mayer i co najmniej jedno inne konto użytkownika w jednostce organizacyjnej Ludzie. Użytkownik Barbara Mayer jest członkiem grupy Helpdesk. Grupie Helpdesk oddelegowano uprawnienia Reset User Passwords and Force Password Change at Next Logon (Resetowanie haseł użytkowników i wymuszanie zmiany hasła przy następnym logowaniu) na poziomie jednostki organizacyjnej Ludzie. Ponadto należy upewnić się, że grupa Domain Users (Użytkownicy domeny) jest członkiem grupy Print Operators, którą można znaleźć w kontenerze Builtin. Umożliwi to wszystkim przykładowym użytkownikom w domenie logowanie się do kontrolera domeny SERVER01. Ćwiczenie 1. Zalogować się na komputerze SERVER01 jako Barbara Mayer. Jest ona członkiem grupy Helpdesk. Należy sprawdzić, czy może ona resetować hasła użytkowników innych niż ona sama w jednostce organizacyjnej Ludzie. Następnie należy spróbować zmienić hasło konta użytkownika w jednostce organizacyjnej Admini. Należy zbadać wyniki. Ćwiczenie 2. Zalogować się jako Administrator na komputerze SERVER01. Należy utworzyć nową jednostkę organizacyjną o nazwie Oddział wewnątrz jednostki organizacyjnej Ludzie. Podczas tworzenia jednostki organizacyjnej Oddział należy upewnić się, że zaznaczona jest opcja Protect Container From Accidentai Deletion (Chroń kontener przed przypadkowym usunięciem), ponieważ będziemy testowali usuwanie tej jednostki organizacyjnej po tym ćwiczeniu. Należy zwrócić uwagę na uprawnienia przypisane do grupy Helpdesk. Czy są one jawne, czy odziedziczone? Jeśli odziedziczone, to po czym są dziedziczone? Otworzyć listę DACL jednostki organizacyjnej Oddział w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeń). Należy wyłączyć opcję Include Inheritable Permissions From This Object’s Parent (Dołącz uprawnienia dziedziczne z tego obiektu nadrzędnego). Należy się wylogować i zalogować ponownie jako Barbara Mayer. Należy sprawdzić, czy może ona zresetować hasło użytkownika w jednostce organizacyjnej Ludzie. Teraz należy spróbować zresetować hasło użytkownika w jednostce organizacyjnej Oddział. Pojawi się komunikat o odmowie dostępu. Należy się wylogować i zalogować ponownie jako Administrator. Należy naprawić przyczynę braku dostępu przez Barbarę przywracając dziedziczenie dla jednostki organizacyjnej Oddział. Należy się wylogować i ponownie zalogować jako Barbara, aby sprawdzić wyniki. Czy może teraz zresetować hasło użytkownika w jednostce organizacyjnej Oddział? Ćwiczenie 3. Zalogować się na komputerze SERVER01 jako Barbara Mayer. Należy spróbować usunąć jednostkę organizacyjną Oddział. Pojawi się komunikat o odmowie dostępu. Należy się wylogować i zalogować ponownie jako Administrator. Należy spróbować usunąć jednostkę organizacyjną Oddział. Pojawi się komunikat o odmowie dostępu. Otworzyć właściwości jednostki organizacyjnej Oddział. Należy poszukać karty Object (Obiekt). Jeśli nie jest ona widoczna, trzeba włączyć widok Advanced Features (Opcje zaawansowane) w przystawce Active Directory Users And Computers (Użytkownicy i komputery usługi Active Directory). Na karcie Object (Obiekt) należy wyłączyć ochronę jednostki organizacyjnej Oddział. Na koniec należy usunąć jednostkę organizacyjną Oddział i zawarte w niej konto użytkownika.