グループのメンバーがADの特定のアカウントによってロック解除されることを許可する

Question

背景

サポートスタッフが時間外にファイアコールアカウントを有効にできるようにするサービスを作成しています（つまり、夜間に問題が発生し、管理者権限を持つ人を確保できない場合は、サポートチームの別のメンバーが個人を有効にすることができますADのfirecallアカウント。これは、以前に管理者権限で設定されています）。このサービスは、変更の理由をログに記録し、キーパーソンに警告し、このアクセスの変更が監査されていることを確認します。これにより、これらの一時的な管理者権限が適切に使用されていることを確認できます。

これを行うには、サービスを実行するサービスアカウントに、ActiveDirectoryでユーザーを有効にするためのアクセス許可が必要です。理想的には、これをロックして、サービスアカウントが特定のADセキュリティグループのユーザーのみを有効/無効にできるようにします。

質問

アカウントへのアクセスを許可して、ADの特定のセキュリティグループのメンバーであるユーザーを有効/無効にするにはどうすればよいですか？

バックアップの質問

セキュリティグループがこれを行うことができない場合、適切な代替手段はありますか？つまり、OUで実行できますか、それともセキュリティグループのすべてのメンバーをループして、オブジェクト（firecallアカウント）自体のアクセス許可を更新するスクリプトを作成するのが最善でしょうか？

前もって感謝します。

追加のタグ

（私はまだここに新しいタグを作成するためのアクセス権を持っていないので、タグ付けされてこのビットが編集/削除されるまでキーワード検索を支援するために以下にリストします）DSACLS、DSACLS.EXE、FIRECALL、ACCOUNT、SECURITY-GROUP

Evan Anderson · Accepted Answer

Active Directory（AD）オブジェクトのプロパティを変更する権限は、アクセス制御リスト（ACL）によって制御されます。 ACLは、オブジェクトが明示的に（継承なしで）、またはオブジェクトが配置されているコンテナ（OUまたはコンテナオブジェクト）からの継承によって暗黙的にオブジェクトに適用されます。

属性の制御をユーザーまたはグループに委任する（余談ですが、ほとんどの場合、アクセス許可をグループに委任する必要があります）は、コンテナーオブジェクト（最も一般的）または個々の非コンテナーオブジェクト（ユーザーアカウントやコンピューターアカウントなど）のアクセス許可を変更するだけです。 -ただし、技術的には、それらはareコンテナオブジェクトです）。

ACLはnotオブジェクトのセキュリティグループメンバーシップに基づいてオブジェクトに適用されます。これは、あなたが探していると述べているものです。

最善の策は、制御を委任するユーザーアカウントをOUに配置し、そのOUの制御を委任することです。それが不可能な場合は、各ユーザーアカウントのACLを個別に変更することに固執しています。

Falcon Momot · Answer

ほとんどのサードパーティのIDおよびアクセス管理ソフトウェアは、通常はドメイン管理者の資格情報を使用して、ユーザーに代わって要求を完了することにより、このタイプのアクセス制御を処理できます（ただし、常にさらにロックダウンされる可能性があります）。

残念ながら、Windows自体はこれを行うことができません。ADのグループメンバーシップは、実際にはグループのメンバーリストにリストされているだけです（グループのmember属性、memberOf構築属性の生成に使用されます）、ディレクトリ内の構造的な意味はありません（ADは主にLDAPにすぎないことを思い出してください）。対照的に、ADのアクセス許可は構造的に定義されているため、グループで定義されていない階層に従って、サブツリー（ドメイン、OU、個々のユーザーなど）に対する特定のアクセス許可をアカウントに付与できます。この構造は、他のLDAPツリーと同様に、ドメインとOUに基づいています。ユーザーのDN（識別名）に何かが表示されない場合、それを使用してディレクトリのアクセス許可を管理することはできません。

Ablue · Answer

委任。オブジェクトのuserAccountControl属性に書き込み権限を委任する必要があります。

この委任は、セキュリティグループのメンバーに適用できます。