Delegering i Active Directory: Det behöver inte vara svårt!

Gästbloggare: Derek Melber, Microsoft MVP och Technical Evangelist på ManageEngine.

Ett avgörande skäl till att många organisationer väljer Active Directory är att delegering finns inbyggd i produkten. Windows NT hade inte delegering såvida man inte vill kalla medlemskap i Account Operators för gruppdelegering! Windows Active Directory erbjuder en enkel metod för att tilldela en grupp användare detaljerad kontroll över samtliga eller bara en specifik undergrupp till dina Active Directory-objekt med hjälp av guiden Delegera kontroll.

Om din supportavdelning exempelvis behöver kunna återställa lösenord för alla användare med undantag för IT-avdelningen kan du tilldela denna behörighet till den OU (organisationsenhet) som omfattar anställda som inte tillhör IT. Ytterligare en praktisk möjlighet med delegering är modifiering av gruppmedlemmar så att chefer kan styra vilka användare som har åtkomst till data och applikationer inom avdelningen.

När denna delegering har genomförts (det kan i praktiken röra sig om några sekunder) är nästa steg att lotsa de aktuella användarna vidare till någon form av gränssnitt så att de kan utföra dessa administrativa uppgifter. Det enda tillgängliga verktyget från Microsoft för administration av Active Directory är administrationsverktyget ”Active Directory – Users and Computers”. Jag förutsätter att alla känner till verktyget eftersom det har funnits i 15 år. Om du använder Windows XP eller tidigare kan du installera verktyget med adminpak.msi. Om du använder Windows Vista eller senare måste du installera verktygen för fjärrserveradministration (RSAT – Remote Server Administrative Tools).

Det största problemet med verktyget ”Active Directory - Users and Computers” är att det inte har inbyggd intelligens för hantering av delegeringar som görs inom Active Directory-strukturen. Detta beror dels på att samtliga användare i Active Directory har läsbehörighet till allting i Active Directory. På grund av denna breda åtkomst, måste den delegerade användaren leta sig fram i verktyget för att hitta rätt. Användaren måste i regel prova sig fram för att hitta till de uppgifter som han/hon skall utföra.

Som alternativ till det fullständiga verktyget ”Active Directory - Users and Computers” tillhandahåller Microsoft Taskpad Views (vyer) för att avgränsa den ”vy” som användaren med delegerade behörigheter kan se. Jag kommer inte att göra en detaljerad beskrivning av generering av Taskpad Views eftersom det är mycket omständigt, men jag kommer att beskriva hur du skapar dem.

För det första kan du inte använda verktyget ”Active Directory - Users and Computers” som finns i mappen Administrativa verktyg eller menylistan. För det andra måste du starta verktyget ”Active Directory - Users and Computers” via det administrativa verktyget MMC (Microsoft Management Console). Väl inne i MMC – efter att du har lagt till snapin-modulen ”Active Directory - Users and Computers” – kan du börja skapa en Taskpad View. För att skapa en Taskpad View måste du först leta fram aktuell nod (domännivå, OU eller objekt) i gränssnittet ”Active Directory - Users and Computers”. Högerklicka sedan på noden. Då visas ett alternativ för Taskpad View (se Figur 1).

Figur 1. Skapa en Taskpad View.

Med Taskpad View måste du först bestämma vad den delegerade användaren ska kunna se – sedan måste du konfigurera vad den delegerade användarens gränssnitt ska kunna göra. Du kommer att behöva prova dig fram innan det blir helt rätt.

”Active Directory - Users and Computers” och tillhörande Taskpad View är gratis. Du kommer dock att märka att administration via dessa gränssnitt är tidsödande och kräver kontinuerligt underhåll när delegerade behörigheter ändras.

I stället för att använda ett verktyg som varken är lättanvänt eller särskilt praktiskt, kan du använda ett verktyg som har utvecklats för att göra delegering enkelt, automatiskt och underhållsfritt. Verktyget heter ADManager Plus. Jag upplever att skribenter och experter ofta påstår att någonting är ”enkelt” att göra när det i själva fallet inte är det. I detta fall är det faktiskt enkelt att konfigurera delegeringar så att den delegerade användaren får tillgång till ett enkelt och lättanvänt skräddarsytt gränssnitt.

Figur 2 visar gränssnittet för delegeringar i ADManager Plus.

Figur 2: Med ADManager Plus är det enkelt att delegera behörigheter till tekniker

Figur 3 visar hur den resulterande delegeringen ”återställ lösenord” ser ut hos teknikern. Observera att användaren helt enkelt ansluter till en webbsida – det som visas på sidan styrs till 100 % av delegeringarna som gjorts av administratören.

Figur 3: Vy för återställning av lösenord för tekniker.

Låt oss anta att du även vill låta denna tekniker kunna ändra gruppmedlemskap. Figur 4 visar delegeringen. Figur 5 visar HTML-sidan som visas efter en snabb utloggning och återinloggning i ADManager Plus.

Figur 4: Delegerad behörighet för ändring av gruppmedlemskap.

Figur 5: Nytt delegeringsgränssnitt i ADManager Plus för både lösenordsåterställning och ändring av gruppmedlemskap.

Observera att teknikern, förutom användaregenskaper, även har åtkomst till gruppegenskaper.

Om man jämför GUI-resultaten från Taskpad View (stor arbetsinsats) med ADManager Plus (praktiskt taget noll arbetsinsats), är det uppenbart vilket verktyg som är mer praktiskt, kraftfullt och effektivt.