Подробный гайд: Права пользователей в Active Directory DS (Windows Server)
Active Directory Domain Services (AD DS) — это служба каталогов Microsoft для управления пользователями, компьютерами, группами и политиками в доменной среде. Управление правами — критически важный аспект безопасности и администрирования.
Основные понятия: Права, Привилегии, Разрешения
| Термин | Описание | Пример |
|---|---|---|
| Права (User Rights) | Системные возможности, назначаемые через групповые политики (GPO) | «Вход в систему локально», «Изменение системного времени» |
| Привилегии (Privileges) | Программно определяемые возможности, часто синоним прав | SeBackupPrivilege — резервное копирование |
| Разрешения (Permissions) | Контроль доступа к объектам (файлы, реестр, объекты AD) через списки ACL | Чтение/запись объекта пользователя в AD |
Важно:
При конфликте права пользователя обычно имеют приоритет над разрешениями объекта.
Привилегированные встроенные группы в AD DS
Группы высшего уровня привилегий
| Группа | Область действия | Описание |
|---|---|---|
| Enterprise Admins | Весь лес (лес) | Полные права на все домены в лесу. Только для корневых изменений леса |
| Domain Admins | Конкретный домен | Полные права в домене, членство в локальных Administrators на всех ПК домена |
| Administrators (Built-in) | Домен/локально | Локальная группа домена, получает права через вложенность |
| Schema Admins | Схема леса | Только модификация схемы AD. Узкая, но критическая область |
Другие важные встроенные группы
- Account Operators — управление учётными записями пользователей/групп
- Backup Operators — обход ограничений для резервного копирования
- Server Operators — администрирование контроллеров домена
- Print Operators — управление принтерами домена
- Group Policy Creator Owners — создание и изменение GPO
- Event Log Readers — чтение журналов событий на КД
- Remote Desktop Users — право на RDP-вход
Совет:
Избегайте использования встроенных групп для делегирования — их права часто избыточны. Создавайте собственные группы с точными правами.
User Rights Assignment: Список ключевых прав
Настройка:
Компьютерная конфигурация → Политики → Параметры безопасности → Локальные политики → Назначение прав пользователя
Права входа в систему (Logon Rights)
| Право (рус.) | Имя политики | Константа | Описание |
|---|---|---|---|
| Вход в систему локально | Allow log on locally | SeInteractiveLogonRight |
Разрешает физический вход на консоль |
| Вход через службы удалённых рабочих столов | Allow log on through RDS | SeRemoteInteractiveLogonRight |
Доступ через RDP |
| Вход как пакетное задание | Log on as a batch job | SeBatchLogonRight |
Для задач по расписанию |
| Вход как служба | Log on as a service | SeServiceLogonRight |
Для учётных записей служб |
| Доступ к компьютеру из сети | Access this computer from the network | SeNetworkLogonRight |
Сетевой доступ к ресурсам |
Права управления системой
| Право | Константа | Рекомендация |
|---|---|---|
| Изменение системного времени | SeSystemtimePrivilege |
Только администраторы/службы времени |
| Резервное копирование файлов | SeBackupPrivilege |
Группа Backup Operators |
| Восстановление файлов | SeRestorePrivilege |
Группа Backup Operators |
| Завершение работы системы | SeShutdownPrivilege |
Ограничить для пользователей |
| Загрузка драйверов | SeLoadDriverPrivilege |
Только Administrators |
| Отладка программ | SeDebugPrivilege |
Критическое право — только доверенные админы |
Права безопасности и аудита
| Право | Константа | Важность |
|---|---|---|
| Управление аудитом и журналом безопасности | SeSecurityPrivilege |
Высокая — только админы безопасности |
| Создание токена | SeCreateTokenPrivilege |
Критическое — только SYSTEM |
| Действие как часть ОС | SeTcbPrivilege |
Максимальный уровень доверия |
| Взятие владения объектами | SeTakeOwnershipPrivilege |
Может обойти любые разрешения |
Делегирование прав в AD DS: Пошаговый подход
Шаг 1: Проектирование структуры OU
Domain
└─ _Administration (для служебных объектов)
└─ Departments
├─ HR
├─ IT
└─ Finance
└─ Locations
├─ Moscow
└─ SPb
OU должны отражать организационную структуру для естественных границ делегирования.
Шаг 2: Создание групп для делегирования
# Пример: Группа для сброса паролей в отделе HR
New-ADGroup -Name "DLG-HR-PasswordReset" `
-GroupScope Global `
-GroupCategory Security `
-Path "OU=Groups,DC=contoso,DC=com" `
-Description "Сброс паролей пользователей в OU=HR"
Шаг 3: Использование мастера делегирования
- Откройте Active Directory Users and Computers
- ПКМ на целевом OU → Delegate Control
- Добавьте созданную группу безопасности
4. Выберите задачи:
- Сброс паролей пользователей
- Чтение информации о пользователях
- Управление членством в группах
- Завершите мастер
Шаг 4: Тонкая настройка прав (Advanced)
Для нестандартных сценариев используйте Advanced Features → вкладка Security → Advanced → Add → укажите:
- Тип объекта (User, Computer, Group)
- Конкретные атрибуты (например,
telephoneNumber,department) - Тип доступа: Allow / Deny
Проверка:
Используйте dsacls или инструменты вроде AD ACL Scanner для анализа эффективных прав.
Лучшие практики безопасности
Принцип наименьших привилегий (PoLP)
Предоставляйте только те права, которые необходимы для выполнения задачи. Не добавляйте пользователей в Domain Admins для сброса паролей.
Делегируйте группам, а не пользователям
# Плохо:
Add-ADGroupMember -Identity "Domain Admins" -Members "ivanov"
# Хорошо:
Add-ADGroupMember -Identity "DLG-IT-HelpDesk" -Members "ivanov"
# Группа "DLG-IT-HelpDesk" имеет делегированные права только на нужные OU
Это упрощает аудит и управление при смене ролей сотрудников.
Регулярный аудит прав
# Пример: Поиск пользователей с правами администратора домена
Get-ADGroupMember "Domain Admins" | Select-Object Name, DistinguishedName
# Аудит прав на конкретный OU
Get-ACL "AD:\OU=IT,DC=contoso,DC=com" |
Select-Object -ExpandProperty Access |
Where-Object {$_.AccessControlType -eq "Allow"} |
Format-Table IdentityReference, ActiveDirectoryRights
Проводите аудит минимум ежеквартально и после организационных изменений.
Используйте иерархию прав (Tier Model)
Tier 0: Enterprise/Domain Admins — только аварийные сценарии
Tier 1: Админы служб (КД, DNS, DHCP)
Tier 2: Админы данных (управление пользователями в своих OU)
Tier 3: Help Desk — сброс паролей, разблокировка
Разделение по уровням снижает риск горизонтального перемещения атак.
Блокируйте наследование при необходимости
Если объект требует особых прав, отключите наследование:
**Properties → Security → Advanced → Disable inheritance**
Но используйте это как крайнюю меру — усложняет поддержку.
Полезные инструменты
| Инструмент | Назначение |
|---|---|
| RSAT: ADUC / GPMC | Базовое управление делегированием |
| PowerShell (ActiveDirectory module) | Автоматизация аудита и настройки |
| AD ACL Scanner | Визуальный анализ прав доступа |
| Netwrix Auditor / Lepide | Мониторинг изменений прав в реальном времени |
| BloodHound | Выявление опасных путей эскалации привилегий (для аудита) |
Частые ошибки и как их избежать
| Ошибка | Последствия | Решение |
|---|---|---|
| Добавление пользователей в Domain Admins | Полная компрометация домена при утечке | Используйте делегирование на уровне OU |
| Прямое назначение прав пользователям (не группам) | Сложность аудита, «права-призраки» | Всегда используйте промежуточные группы |
| Игнорирование наследования прав | Неожиданный доступ к дочерним объектам | Тестируйте права на тестовых объектах |
| Отсутствие регулярного аудита | Накопление избыточных прав («privilege creep») | Автоматизируйте отчёты и ревью |
Итог:
Эффективное управление правами в AD DS строится на трёх китах: чёткая структура OU, делегирование через группы, регулярный аудит. Следуя принципу наименьших привилегий и используя встроенные инструменты Windows Server, вы создадите безопасную и масштабируемую среду управления доступом.