Uprawnienia do obiektów AD w kontekście prawa do zmiany haseł użytkowników


 

Jeden z naszych czytelników poprosił o poradę dotyczącą uprawnień w AD, a mianowicie zapytał dlaczego użytkownicy w jego domenie mogą sobie nawzajem  zmieniać hasła domenowe? Byłby dostał prywatną odpowiedź, ale pytanie było bardzo ciekawe i musimy podzielić się tym na łamach Bloga :)

Uprawnienia do obiektów w AD nadajemy na dwa sposoby: przez przypisanie ich do obiektów (na przykład OU) lub przez delegację. O delegacji porozmawiamy niebawem – dzisiaj szybko podpowiem jak zmieniamy i podglądamy uprawnienia do obiektów.

Uruchamiamy konsolę Active Directory:

Start > Programs > Administrative Tools > Active Directory Users and Computers.

Uruchamiamy widok zaawansowany:

menu “View” > Advanced Features

Zaznaczamy obiekt (na przykład jednostkę organizacyjną „users”).

PPM > przycisk „Advanced”.

Wyświetla nam się lista grup i użytkowników mających dostęp do wskazanego OU.

Szczegółowe uprawnienia (na przykład szukany przez nas przywilej do zmiany hasła, znajdziemy pod przyciskiem  „View” po zaznaczeniu konkretnej grupy. Zacznijmy od grypy Everyone, nasz czytelnik skarżył się na to, że hasła mogą zmieniać sobie wszyscy nawzajem:

Nietrudno domyśleć się, że do modyfikowania uprawnień służą check-box’y „Allow” (ZEZWÓL) i „Deny” (ZABROŃ). Opcja „Deny” ma wyższy priorytet.

I teraz bardzo ważna uwaga:

Jeśli mówimy o zmianie hasła, to w AD znajdziecie 2 typy uprawnień: „change password” i „reset password” (patrz obrazek wyżej). Change password pozwala użytkownikom na zmianę swoich haseł. Mogą to zrobić tylko znając swoje stare hasło. Reset password to funkcja dla administratorów – pozwala na zmianę hasła, nawet jak nie znamy starego. Taki reset można wykonać z poziomu konsoli AD, lub w CMD wg wczesniejszych wskazówek.

Co ciekawe, pewnie zauważycie, że grupa Everyone ma prawo „change password” do WSZYSTKICH nowo tworznych kont. Dzieje się tak, po to by grupa „Annonymous”, a w praktyce każdy użytkownik), mógł zmienić sobie hasło bez uwierzytelnienia – na przykład jak mu hasło wygaśnie.

Jak wspomniałem, należałoby sprawdzić wszystkie grupy, które są na liście. Zachęcam do zapoznania się z Microsoftowym artykułem dotyczącym zalecanych praktyk przy ustawianiu uprawnień w AD (wersja ang.):

http://technet.microsoft.com/en-us/library/cc786285(v=ws.10).aspx


Podobne Tematy:

  • Ja

    Nie ma takiego słowa jak „autentkacji”. Poprawcie to na uwierzytelnienie lub od biedy na autoryzację

    • Łukasz Skalikow

      Poprawione ;) Czekam pokornie, aż PWN zatwierdzi słowo „autentykacja”; w naszej branży jest ono przecież używane powszechnie :)