Вчера в чате Facebook мне два человека задали один и тот же вопрос: как можно скрыть от пользователей возможность просмотра подразделений (OU) своего домена. Другими словами, если на пользовательском компьютере будут установлены средства администрирования удаленного сервера (RSAT) или утилита Марка Руссиновича «Active Directory Explorer» из пакета утилиты Sysinternals, то пользователь сможет просмотреть все подразделения в домене, а также все объекты, созданные в таких подразделениях. Во многих случаях это крайне нежелательно и противоречит требованиям безопасности самой компании. А так как опция, предназначенная для отключения возможности просмотра содержимого подразделений в оснастке «Active Directory – пользователи и компьютеры» отсутствует, для многих это может стать незначительной проблемой. В данной статье речь пойдет именно о том, как можно скрыть объекты, расположенные в определенных подразделениях Active Directory.

Прячем объекты, расположенные в подразделении Active Directory от пользователей

Прежде всего, для того чтобы постоянно не выполнять описанную ниже процедуру, я рекомендую вам создавать иерархию подразделений в домене Active Directory на основании организационной, объектной или административной моделей (о методах планирования подразделений я рассказывал в статье «Планирование подразделений на предприятии»). В следующем примере будет рассмотрена ситуация, где в домене с организационной моделью подразделений нужно спрятать от всех пользователей объекты и дочерние подразделения из подразделения «Пользователи», но предоставить доступ к дочернему подразделению «Продажи» пользователям, которые входят в глобальную группу безопасности «Продажи».

Итак, для того чтобы скрыть объекты Active Directory от пользователей, согласно указанному выше сценарию, выполните следующие действия:

  1. На контроллере домена откройте оснастку «Active Directory – пользователи и компьютеры»и включите отображение дополнительных компонентов, как показано на следующей иллюстрации:hide-objects-01

    Рис. 1. Оснастка «Active Directory – пользователи и компьютеры» с включенными дополнительными компонентами

  2. Выберите подразделение, объекты и дочерние подразделения, которые вам нужно скрыть и вызовите диалоговое окно свойств подразделения;
  3. Как видно на следующей иллюстрации, в отличие от режима, заданного по умолчанию, теперь в диалоговом окне свойств подразделения доступны шесть вкладок. Перейдите на вкладку «Безопасность», а затем для изменения разрешений нажмите на кнопку «Дополнительно»:hide-objects-02

    Рис. 2. Вкладка «Безопасность» диалогового окна свойств подразделения

  4. В отобразившемся диалоговом окне «Дополнительные параметры безопасности для «%Имя_Подразделения%»», на вкладке «Разрешения» вам нужно снять флажок с опции «Добавить разрешения, наследуемые от родительских объектов» и в окне предупреждения «Безопасность Windows» нажать на кнопку «Добавить», как показано ниже:hide-objects-03

    Рис. 3. Диалоговое окно дополнительных параметров безопасности для выбранного подразделения

  5. Теперь на вкладке «Безопасность» диалогового окна свойств подразделения удалите все группы и пользователей кроме тех, для которых должен быть предоставлен доступ. В большинстве случаев – это группы «Система», «Администраторы домена», «Администраторы предприятия», «Администраторы» и «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ». Вкладка «Безопасность»с удаленными группами отображена на следующей иллюстрации:hide-objects-04

    Рис. 4. Вкладка «Безопасность» диалогового окна свойств подразделения

  6. Теперь нужно добавить для группы «Продажи» возможность просматривать объекты своего подразделения, которое расположено внутри подразделения «Пользователи». Насколько я знаю, назначить такие разрешения для определенного дочернего подразделения при отключенных правах для какой-либо группы невозможно. Поэтому в данном случае придется воспользоваться некими обходными путями. А именно, на вкладке «Безопасность» диалогового окна свойств подразделения «Пользователи», следует добавить группу «Продажи» с разрешением «Чтение». Следует обратить внимание на тот, момент, что в связи с тем, что элементы запрета имеют наивысший приоритет, вам нужно будет указать разрешения для чтения в этом подразделении. После этого, в каждом дочернем подразделении пользователей нужно запретить полный доступ, включая чтение для данной группы безопасности. Единственным подразделением, для которого нужно выставить разрешение на чтение, является подразделение «Продажи».

Что должно получиться в результате… Теперь, если на клиентском компьютере пользователь, выполнив вход из своей учетной записи, откроет оснастку «Active Directory – пользователи и компьютеры» или воспользуется утилитой «Active Directory Explorer», то он сможет получить доступ только к объектам, расположенным в своем подразделении.

На следующей иллюстрации изображено окно утилиты «Active Directory Explorer», которое было запущено на компьютере под управлением операционной системы Windows 7 от имени учетной записи пользователя Михаила Талогаева, который является членом глобальной группы безопасности «Продажи». Он может просматривать только те объекты и их атрибуты, которые расположены в подразделении «Продажи».

hide-objects-05

Рис. 5. Окно программы «Active Directory Explorer»

Стоит обязательно обратить внимание на то, что, так как нам пришлось разрешить пользователям данного подразделения просматривать объекты подразделения «Продажи», пользователи из этого подразделения могут также узнать названия всех подразделений, расположенных на том же уровне, что и подразделение «Продажи». Поэтому, при выполнении таких действий обязательно тщательно продумывайте иерархию своих подразделений в Active Directory.

Заключение

В этой статье я рассказал о том, как можно спрятать от просмотра объекты, расположенные в определенных подразделениях в Active Directory. Был рассмотрен пример, в котором нужно было спрятать от всех пользователей объекты и дочерние подразделения из подразделения «Пользователи», но предоставить доступ к дочернему подразделению «Продажи» пользователям, которые входят в глобальную группу безопасности «Продажи». Разумеется, как было указано выше, этот вариант не является оптимальным и в подобном случае вам нужно тщательно планировать иерархию подразделений в своей организации.

Реклама