Заметки IT Менеджера

10.03.2015

Аккаунты с выключенным наследованием прав доступа и Exchange 2013/Lync 2013


Exchange_2013

 

В процессе внедрения Exchange или Lync можно столкнуться с акантами, для которых не работает или работает странно часть функционала Exchange 2013 или невозможность активировать аккаунт для работы в Lync 2013. На самом деле эти проблемы могут возникать и в более ранних версиях этих продуктов.

Расследование показывает, что эти аккаунты существуют давно и имеют или имели когда-то более широкие права чем другие. Самый распространенный случай – выданные права администраторов домена.

Собственно внедрение этих продуктов хороший повод к проведению аудита прав, лишения их у тех кому это не нужно в принципе, а тем, кому это все-таки нужно следует перейти на двуаккаунтную работу. Один аккаунт будет иметь рядовые права в домене и он же будет использоваться в Exchange/Lync, ну а второй будет использоваться для целей администрирования.

Сама по себе проблема связана с отключенным наследованием прав доступа к аккаунту. Можно зайти в каждый проблемный аккаунт и вручную включить наследование и это поможет. Но, через какое-то время (около часа) все вернется на место. Это связано с тем, что для аккаунтов, которые входят в так называемые защищенные группы, наследование на регулярной основе сбрасывается.

Т.о. для решения проблемы следует обнаружить все аккаунты, у которых наследование выключено и на основе полученного списка принять решение об включении наследования и/или предварительном удалении этих аккаунтов из защищенных групп.

Во все этом нам помогут утилиты ActiveRoles Management Shell for Active Directory от компании Dell (ранее Quest Software). Можно обойтись и без них, но с ними гораздо проще.

Итак, для поиска таких аккаунтов следует запустить команду:

Get-QADUser -SizeLimit 0 | where {$_.DirectoryEntry.psbase.ObjectSecurity.AreAccessRulesProtected} | Out-GridView

Чтобы исключить из списка технологических пользователей, можно сузить выборку

Get-QADUser -SizeLimit 0 -SearchRoot "contoso.com/Domain Users" | where {$_.DirectoryEntry.psbase.ObjectSecurity.AreAccessRulesProtected} | Out-GridView

Для включения наследования следует использовать команду:

Set-QADObjectSecurity –UnlockInheritance

Можно включить наследование всем:

Get-QADUser -SizeLimit 0 | where {$_.DirectoryEntry.psbase.ObjectSecurity.AreAccessRulesProtected} | Set-QADObjectSecurity –UnlockInheritance

На первый взгляд это не самое правильное решение, но такое решение приведет к тому, что у членов защищенных групп оно снова автоматически выключится, а вот те, у кого исторически оно было выключено, получат правильные настройки.

Использованные материалы:
AdminSDHolder, Protected Groups and SDPROP
Find and fix broken inheritance

Реклама

Добавить комментарий »

Комментариев нет.

RSS feed for comments on this post. TrackBack URI

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

Блог на WordPress.com.

%d такие блоггеры, как: