Delegare le autorizzazioni in Active Directory

  • 3 minuti

La delega delle autorizzazioni in Active Directory (AD) comporta l'assegnazione di attività amministrative specifiche a utenti o gruppi, consentendo loro di eseguire determinate funzioni di Active Directory senza concedere diritti amministrativi completi. La delega delle autorizzazioni supporta il principio dei privilegi minimi, consentendo al tempo stesso di delegare le attività agli utenti non amministrativi. La concessione di autorizzazioni a tali utenti per eseguire determinate attività di gestione di Active Directory non richiede l'aggiunta di tali utenti a gruppi di dominio con privilegi, ad esempio Domain Admins o Account Operators. La delega delle autorizzazioni garantisce che gli utenti dispongano solo dell'accesso necessario per eseguire le funzioni di lavoro. Delegando le autorizzazioni, è possibile controllare la configurazione delle autorizzazioni, riducendo al minimo il rischio di uso accidentale o intenzionale di tali autorizzazioni.

Ad esempio, è possibile delegare le autorizzazioni a un gruppo di sicurezza di Active Directory, ad esempio il team help desk, per eseguire determinate attività di gestione comuni. La delega consente di concedere al supporto tecnico le autorizzazioni per aggiungere utenti a gruppi, creare nuovi utenti in Active Directory o reimpostare le password dell'account utente.

Delegare le autorizzazioni di reimpostazione della password

Un'attività comune e critica che gli amministratori spesso eseguono consiste nel reimpostare le password degli account utente. Gli amministratori devono assicurarsi periodicamente che le password vengano aggiornate regolarmente in base alle procedure consigliate per la sicurezza. Delegando le autorizzazioni di reimpostazione della password, le organizzazioni possono migliorare l'efficienza e ridurre il tempo dedicato a un'attività di routine.

Quando si delegano le autorizzazioni di reimpostazione della password, si abilitano gli utenti designati per facilitare l'amministrazione delle password, mantenendo comunque un controllo rigoroso su chi può eseguire questa attività.

Per delegare le autorizzazioni di reimpostazione della password in Active Directory, seguire questa procedura generale:

  1. Aprire Utenti e computer di Active Directory.
  2. Fare clic con il pulsante destro del mouse sull'unità organizzativa a cui si vuole delegare il controllo, quindi scegliere Delega controllo.
  3. Si apre la Delega del controllo guidata. Fare clic su Avanti.
  4. Fare clic su Aggiungi per aprire la finestra di dialogo Seleziona utenti, computer o gruppi. Qui è possibile scegliere l'utente o il gruppo a cui si vuole delegare l'autorizzazione di reimpostazione della password.
  5. Dopo aver selezionato l'utente o il gruppo, fare clic su Avanti.
  6. Nella pagina Attività da delegare, selezionare Reimposta password utente e forzare la modifica della password all'accesso successivo.
  7. Fare clic su Avanti, rivedere le selezioni e fare clic su Fine per applicare la delega.