Gå direkt till innehåll
Delegering i Active Directory: Det behöver inte vara svårt!

Blogginlägg -

Delegering i Active Directory: Det behöver inte vara svårt!

Gästbloggare: Derek Melber, Microsoft MVP och Technical Evangelist på ManageEngine.

Ett avgörande skäl till att många organisationer väljer Active Directory är att delegering finns inbyggd i produkten. Windows NT hade inte delegering såvida man inte vill kalla medlemskap i Account Operators för gruppdelegering! Windows Active Directory erbjuder en enkel metod för att tilldela en grupp användare detaljerad kontroll över samtliga eller bara en specifik undergrupp till dina Active Directory-objekt med hjälp av guiden Delegera kontroll.

Om din supportavdelning exempelvis behöver kunna återställa lösenord för alla användare med undantag för IT-avdelningen kan du tilldela denna behörighet till den OU (organisationsenhet) som omfattar anställda som inte tillhör IT. Ytterligare en praktisk möjlighet med delegering är modifiering av gruppmedlemmar så att chefer kan styra vilka användare som har åtkomst till data och applikationer inom avdelningen.

När denna delegering har genomförts (det kan i praktiken röra sig om några sekunder) är nästa steg att lotsa de aktuella användarna vidare till någon form av gränssnitt så att de kan utföra dessa administrativa uppgifter. Det enda tillgängliga verktyget från Microsoft för administration av Active Directory är administrationsverktyget ”Active Directory – Users and Computers”. Jag förutsätter att alla känner till verktyget eftersom det har funnits i 15 år. Om du använder Windows XP eller tidigare kan du installera verktyget med adminpak.msi. Om du använder Windows Vista eller senare måste du installera verktygen för fjärrserveradministration (RSAT – Remote Server Administrative Tools).

Det största problemet med verktyget ”Active Directory - Users and Computers” är att det inte har inbyggd intelligens för hantering av delegeringar som görs inom Active Directory-strukturen. Detta beror dels på att samtliga användare i Active Directory har läsbehörighet till allting i Active Directory. På grund av denna breda åtkomst, måste den delegerade användaren leta sig fram i verktyget för att hitta rätt. Användaren måste i regel prova sig fram för att hitta till de uppgifter som han/hon skall utföra.

Som alternativ till det fullständiga verktyget ”Active Directory - Users and Computers” tillhandahåller Microsoft Taskpad Views (vyer) för att avgränsa den ”vy” som användaren med delegerade behörigheter kan se. Jag kommer inte att göra en detaljerad beskrivning av generering av Taskpad Views eftersom det är mycket omständigt, men jag kommer att beskriva hur du skapar dem.

För det första kan du inte använda verktyget ”Active Directory - Users and Computers” som finns i mappen Administrativa verktyg eller menylistan. För det andra måste du starta verktyget ”Active Directory - Users and Computers” via det administrativa verktyget MMC (Microsoft Management Console). Väl inne i MMC – efter att du har lagt till snapin-modulen ”Active Directory - Users and Computers” – kan du börja skapa en Taskpad View. För att skapa en Taskpad View måste du först leta fram aktuell nod (domännivå, OU eller objekt) i gränssnittet ”Active Directory - Users and Computers”. Högerklicka sedan på noden. Då visas ett alternativ för Taskpad View (se Figur 1).

Skapa en Taskpad View

Figur 1. Skapa en Taskpad View.

Med Taskpad View måste du först bestämma vad den delegerade användaren ska kunna se – sedan måste du konfigurera vad den delegerade användarens gränssnitt ska kunna göra. Du kommer att behöva prova dig fram innan det blir helt rätt.

”Active Directory - Users and Computers” och tillhörande Taskpad View är gratis. Du kommer dock att märka att administration via dessa gränssnitt är tidsödande och kräver kontinuerligt underhåll när delegerade behörigheter ändras.

I stället för att använda ett verktyg som varken är lättanvänt eller särskilt praktiskt, kan du använda ett verktyg som har utvecklats för att göra delegering enkelt, automatiskt och underhållsfritt. Verktyget heter ADManager Plus. Jag upplever att skribenter och experter ofta påstår att någonting är ”enkelt” att göra när det i själva fallet inte är det. I detta fall är det faktiskt enkelt att konfigurera delegeringar så att den delegerade användaren får tillgång till ett enkelt och lättanvänt skräddarsytt gränssnitt.

Figur 2 visar gränssnittet för delegeringar i ADManager Plus.

Med ADManager Plus är det enkelt att delegera behörigheter till tekniker

Figur 2: Med ADManager Plus är det enkelt att delegera behörigheter till tekniker

Figur 3 visar hur den resulterande delegeringen ”återställ lösenord” ser ut hos teknikern. Observera att användaren helt enkelt ansluter till en webbsida – det som visas på sidan styrs till 100 % av delegeringarna som gjorts av administratören.

Vy för återställning av lösenord för tekniker

Figur 3: Vy för återställning av lösenord för tekniker.

Låt oss anta att du även vill låta denna tekniker kunna ändra gruppmedlemskap. Figur 4 visar delegeringen. Figur 5 visar HTML-sidan som visas efter en snabb utloggning och återinloggning i ADManager Plus.

Delegerad behörighet för ändring av gruppmedlemskap

Figur 4: Delegerad behörighet för ändring av gruppmedlemskap.


Nytt delegeringsgränssnitt i ADManager Plus för både lösenordsåterställning och ändring av gruppmedlemskap

Figur 5: Nytt delegeringsgränssnitt i ADManager Plus för både lösenordsåterställning och ändring av gruppmedlemskap.

Observera att teknikern, förutom användaregenskaper, även har åtkomst till gruppegenskaper.

Om man jämför GUI-resultaten från Taskpad View (stor arbetsinsats) med ADManager Plus (praktiskt taget noll arbetsinsats), är det uppenbart vilket verktyg som är mer praktiskt, kraftfullt och effektivt.

Relaterade länkar

Ämnen

Kategorier

Kontakter

Relaterat innehåll

  • Så övervakar du förändringar i Active Directory med enkelhet

    Så övervakar du förändringar i Active Directory med enkelhet

    Det finns vissa saker som Microsoft bygger in i sin produkt som är fantastiskt, medan andra saker bara är patetiska! När det gäller att övervaka Active Directory så finns det både och. Men genom att använda de bra och komplettera det dåliga med andra alternativ kan en fantastisk lösning uppnås!

  • Så delegerar du uppgifter i Active Directory till icke-teknisk personal

    Så delegerar du uppgifter i Active Directory till icke-teknisk personal

    Vi känner alla till att administrativa uppgifter har en tendens att öka, organisationer förändras och de digitala och sociala nätverken växer. Det medför extra arbete för IT-avdelningen att hantera Active Directory på ett snabbt, säkert och effektivt sätt. I denna blogg visar jag hur du kan delegera specifika uppgifter i organisationen utan att behöva vara rädd att något skall gå fel.

  •  Så återställer du objekt i Active Directory

    Så återställer du objekt i Active Directory

    Har du försökt återställa specifika objekt i Active Directory så vet du att det inte är lätt. Samtidigt är det viktigt att kunna återställa Active Directory om något går fel. I denna video visar vi hur du återställer användarkonton i Active Directory inklusive alla inställningar.

Relaterade event