Delegare l'amministrazione di Active Directory in Windows Server

Delegare l'amministrazione di Active Directory in Windows Server | Microsoft 2025
Delegare l'amministrazione di Active Directory in Windows Server | Microsoft 2025

Uno degli aspetti più importanti ma allo stesso tempo attenti in un ambiente server è definire chi può accedere al server e quali privilegi può avere all'interno del sistema poiché qualsiasi modifica non richiesta o approvata può mettere a rischio l'intera infrastruttura dell'organizzazione.

Molti di noi come personale IT nelle nostre aziende hanno dovuto concedere autorizzazioni di amministratore a utenti che non dovrebbero essere in quel gruppo a causa del fatto che devono eseguire un qualche tipo di attività amministrativa e come utenti normali non è possibile.

Un vero esempio che conosciamo è che era necessario aggiungere un utente dal gruppo dei sistemi nel paese della Bolivia al gruppo degli amministratori in modo che potesse creare utenti a un'unità organizzativa speciale, per la quale era necessario aggiungere detto utente a il gruppo Amministratori e la sorpresa È arrivata quando questo utente ha eliminato alcune attrezzature di produzione molto importanti, che hanno generato un po' di caos in azienda.

Per risolvere questi problemi Windows Server include l'opzione per delegare l'amministrazione da determinate attività a utenti specifici in determinate unità organizzative, domini o oggetti Criteri di gruppo.

1. Comprendere la delega dell'amministrazione in Windows Server 2016


Per molti può sembrare caotico e pericoloso assegnare ruoli amministrativi a utenti che potrebbero non avere l'esperienza o le conoscenze per gestire gli elementi di Windows Server 2016 e, come ben sappiamo, non è possibile aggiungere un utente al gruppo Administrators e limita le attività poiché Per impostazione predefinita questo gruppo concede tutta la gestione sul server.

Delegando l'amministrazione possiamo indicare che un utente senza una profonda esperienza può creare un utente in una specifica unità organizzativa senza influenzare il resto del sistema poiché avrà accesso solo a dove determiniamo e non all'intero albero di Windows Server 2016.

Le autorizzazioni amministrative possono essere concesse a un utente o a un gruppo Contiene diversi utenti ma la cosa più importante è che siamo molto chiari su quali permessi e a chi li concediamo. Per questo studio abbiamo creato una UO chiamata Permissions e abbiamo creato un gruppo chiamato Solvetic e un utente chiamato Access (l'utente è stato incluso nel gruppo Solvetic).

Poiché sappiamo che nessun utente non può connettersi immediatamente al dominio, dobbiamo autorizzare l'accesso di quell'utente al dominio, per il quale concediamo l'autorizzazione all'utente Accesso per connettersi al dominio.

Per stabilire questa autorizzazione dobbiamo aprire l'editor Criteri di gruppo GPO, per farlo, tieni premuto il pulsante finestre + R sembrerà in grado di inserire il comando da eseguire, digitare: 

 gpedit.msc
andrai al seguente percorso:
  • Criteri del computer locale
  • Configurazione dell'attrezzatura
  • Impostazioni di Windows
  • Impostazioni di sicurezza
  • Direttive locali
  • Assegnazione dei diritti

E lì seleziona l'opzione Consenti accesso locale. Con questo, questo gruppo o utente selezionato sarà in grado di accedere localmente al computer o al server per essere in grado di eseguire determinate attività designate.

Qui aggiungiamo semplicemente il gruppo Solvetic in modo che l'utente di Access possa accedere.

2. Implementare la delega dell'amministrazione in Windows Server 2016


Una volta aggiunto l'utente in modo che possa accedere, inizieremo il processo di delega all'utente indicato, in questo caso Accesso, gli concederemo le autorizzazioni sull'unità organizzativa Permessi. Per questo daremo Fare clic con il pulsante destro del mouse sull'unità organizzativa Permessi e selezionare l'opzione Delega controllo.

Vediamo che viene visualizzata la procedura guidata per la delega del controllo. Facciamo clic su Avanti.

Quindi dobbiamo aggiungere il gruppo Solvetic che abbiamo creato, per questo facciamo clic sul pulsante Aggiungi e cerchiamo il gruppo.

Facciamo nuovamente clic su Avanti e possiamo vedere che ci sono diverse attività che possono essere delegate all'utente, come ad esempio:

  • Crea, modifica o elimina gruppi
  • Crea, modifica o elimina utenti
  • Modifica le appartenenze al gruppo
  • Gestire i criteri di gruppo

In questo caso Selezioneremo le opzioni Crea, elimina e gestisci gruppi e Crea, elimina e gestisci account utente selezionando le rispettive caselle.

Facciamo clic su Avanti e possiamo vedere che abbiamo completato la configurazione richiesta.

Fare clic su Fine per uscire dalla procedura guidata.

3. Verifica delega di controllo


Successivamente accederemo con l'utente Access in Windows Server 2016.

INGRANDIRE

Una volta effettuato l'accesso, proveremo a creare un utente nell'unità organizzativa Autorizzazioni per confermare che possiamo creare un utente.

INGRANDIRE

Creeremo un utente chiamato Solvetic1. Creeremo anche un gruppo chiamato Test (ricordiamo che all'utente di accesso è stato delegato il controllo per creare, modificare o eliminare utenti e gruppi).

Se proviamo a svolgere un compito che non è stato delegato, ad esempio aggiungendo un team o altro, vedremo che viene visualizzato un messaggio che indica che per motivi di sicurezza non possiamo creare l'oggetto.

4. Controlla i permessi del gruppo creato


Possiamo accedere nuovamente a Windows Server 2016 con l'utente amministratore e andiamo su Utenti e computer di Active Directory, lì dobbiamo andare al menu Visualizza e selezionare l'opzione Funzionalità avanzate. Lì facciamo clic con il pulsante destro del mouse sull'unità organizzativa Permessi e possiamo vedere che il gruppo Solvetic ha permessi speciali.

Se premiamo il pulsante Opzioni avanzate saremo in grado di vedere le autorizzazioni che abbiamo creato durante il processo di delega.

Come vediamo Utilizzando la delega del controllo in Windows Server 2016 possiamo assegnare compiti specifici senza mettere a rischio la sicurezza e l'integrità del server e del dominio..

Qualcosa di importante che dobbiamo tenere a mente è che utilizzando la delega del controllo possiamo solo assegnare autorizzazioni ma non limitare o modificare le autorizzazioni a utenti particolari. Usiamo questo interessante strumento nelle nostre organizzazioni per evitare di aggiungere utenti che richiedono qualche tipo di autorizzazione al gruppo Administrators.

Ecco un tutorial che potrebbe interessarti:

Gestisci AD in Windows Server 2016

wave wave wave wave wave

Messaggi Popolari

wave
1
post-title
Come fare lo screenshot di Huawei P30 Lite
2
post-title
Inserisci un nuovo carattere su iPhone o iPad
3
post-title
Come usare tipi generici in Java
4
post-title
▷ SOLUZIONE: 100% RAM Windows 10 - Veloce e facile
5
post-title
La tabella HTML aggiunge righe, controlli e dati dinamici con Jquery, php e Mysql

Raccomandato

wave
- Sponsored Ad -

Scelta Del Redattore

wave
- Sponsored Ad -