none
Account "administrators" e limitazioni cambio password RRS feed

  • Domanda

  • Buongiorno a tutti

    Mi trovo di fronte al seguente problema:

    Abimende: dominio active directory 2012 R2

    DEVO CREARE MOLTEPLICI UTENTI CON DIRITTI DI ADMINISTRATOR MA QUESTI NON DEBBONO POTER CAMBIARE LE PASSWORD DEGLI ALTRI UTENTI ADMINISTRATORS

    I nuovi utenti "administrators" debbono poter creare utenti di dominio ma non debbono poter modificare le password degli altri utenti Administrators (compresi quelli di sistema e/o di più altro livello)

    Gli utenti "administrators" di sistema (administrator e/o altri utenti da me creati) debbono poter modificare liberamente tutti gli altri utenti administrator

    Quando modifico le impostazioni di sicurezza di un account Administrators (creato ex novo) queste modifiche non vengono mantenute (vengono ripristinate quelle di default probabilmente ereditate o imposte da policy di dominio e/o locali)

    Le modifiche alle impostazioni di sicurezza vengono mantenute se l'utente fa parte solo del grupo "domain users"

    Grazie in anticipo

    lunedì 17 settembre 2018 10:09

Risposte

Tutte le risposte

  • Buongiorno di nuovo

    Possibile nessuno abbia avuto a che fare con questo problema ?

    Grazie

    martedì 18 settembre 2018 10:07
  • francamente non credo tu possa risolvere nel modo che immagini perchè un utente, una volta che è administrator, può fare tutto senza limitazioni quindi piuttosto che avere un utente administrator al quale poi rimuovere dei diritti è più facile avere un account no-admin al quale puoi dare le delega sul diritto di creare nuovi utenti

    https://serverfault.com/questions/311721/how-to-allow-a-user-to-create-other-active-directory-users


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 18 settembre 2018 10:40
    Moderatore
  • Edoarco...grazie per la risposta

    In realtà ho trovato la seguente strada:

    1) creo una nuova unità organizzativa

    2) creao nuovi utenti (domain users)

    3) modifico le "policy di sicurezza" dei gruppi "domain admin" "enterprise admin" etc inserendo nelle policy di sicurezza di questi gruppi i nuovi utenti con "negazione"

    4) modifico le policy di sicurezza dei nuovi utenti negando l'accesso agli altri utenti

    5) faccio delle prove e tutto funziona

    Dopo 10/15 minuti, non funziona più e se vado a controllare le modifiche effettuate alle policy, queste sono state rimosse in automatico

    Cosa ho scoperto però?

    Che se creo un utente appartenente solamente a "domain users" e ne modifico le policy di sicurezza, queste rimangono.

    E' sufficiente che agiungo l'utente al gruppo "account operators" che di nuovo, dopo 10/15 minuti, le policy tornano di nuovo all'origine

    Penso che questo comportamento sia da ricondure alla ereditabilità delle policy padre/figlio

    In sostanza, se modifico un utente con la "delega", ottengo lo stesso risultato che in realtà io effettuo a mano intervenendo sulle policy dei singoli oggetti

    Tengo a precisare che gli utenti administrator che vado a generare, dovranno avere l'accesso alle console dei server ed alla creazione di utenti

    L'accesso si server in RDP è cosa semplice da risolvere.

    mercoledì 19 settembre 2018 20:17
  • scusa ma sinceramente non capisco se tu stia parlando di una soluzione diversa per la tua richiesta iniziale oppure di un problema aggiuntivo in cui le policy, trascorso un certo periodo di tempo, vengono sovrascritte.

    mi spieghi meglio ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 25 settembre 2018 10:28
    Moderatore