Делегирование администрирования в Active Directory

Одной из наиболее важных причин создания структуры OU в Active Directory является делегирование администрирования различным администра­торам или административным группам. В NT 4.0 для этого были необходимы отдель­ные домены, но Active Directory позволяет этот уровень административного деления в одном домене. Эта концепция более подробно иллюстрируется в данном разделе. По существу роль домена ресурсов NT была заменена концепцией организацион­ной единицы. Группам пользователей можно легко назначить конкретные уровни ад­министративного доступа к подмножествам пользователей. Например, удаленной IT-группе можно назначить стандартные полномочия создания/удаления/изменения пароля пользователей в своей собственной OU. Процесс делегирования этого типа доступа довольно прост и включает перечисленные ниже шаги.

  • В оснастке Active Directory Users and Computers щелкните правой кнопкой мы­ши на организационной единице (OU), которой нужно делегировать полномо­чия, и выберите в контекстном меню пункт Delegate Control (Делегировать полномочия управления).
  • На экране приветствия мастера делегирования управления щелкните на кнопке Next (Далее).
  • Щелкните на кнопке Add (Добавить), чтобы выбрать группу, к которой нужно предоставить доступ.
  • Введите имя группы и щелкните на кнопке ОК.
  • Щелкните на кнопке Next.
  • В разделе Delegate the Following Common Tasks (Делегировать следующие об­щие задачи) выберите нужные полномочия — это Create ( Создание), Delete (Удаление) и Manage User Accounts (Управление учетными записями пользователей) — а затем щелкните на кнопке Next.
  • Щелкните на кнопке Finish (Готово), чтобы активизировать изменения.
  • На самом деле мастер делегирования управления позволяет довольно точно выбрать степень административного дробления. Если нужно, администратор может делегиро­вать группе пользователей возможность модификации только номеров телефонов или аналогичные функции для пользователей в конкретной OU. Можно создавать специали­зированные задачи и применять их к OU, чтобы выполнить эти и многие другие задачи администрирования. В общем, таким способом может работать очень большой процент всех типов администрирования, которые могут потребоваться для делегирования. Что­бы выполнить пример назначения специализированного делегирования с администри­рованием номеров телефонов, выполните следующие шаги:

    • В оснастке Active Directory Users and Computers щелкните правой кнопкой мы­ши на организационной единице (OU), которой нужно делегировать полномо­чия, и выберите в контекстном меню пункт Delegate Control.
    • На экране приветствия мастера делегирования управления щелкните на кнопке Next.
    • Щелкните на кнопке Add, чтобы выбрать группу, к которой нужно предоста­вить доступ.
    • Введите имя группы и щелкните на кнопке ОК. Щелкните на кнопке Next.
    • Выберите пункт Create a Custom Task to Delegate (Создать специализирован­ную задачу для делегирования) и щелкните на кнопке Next.
    • В разделе Delegate Control Of (Делегировать управление) укажите Only the Fol­lowing Objects in the Folder (Только следующие объекты в папке).
    • Установите флажок Users Objects (Объекты пользователей) и щелкните на кнопке Next.
    • Сбросьте флажок Property-Specific (Зависящий от свойства).
    • В разделе Permissions (Полномочия) отметьте флажок Read and Write Phone and Mail Options (Чтение и запись опций телефона и почты), и щелкните на кнопке Next.
    • Щелкните на кнопке Finish, чтобы активизировать изменения.
    • Количество различных вариантов огромно, но сама концепция прозрачна. Возмож­ность Active Directory делегировать функции администрирования до такой степени дробления является одним из основных преимуществ, присущих Windows Server 2003.

      Аналогичные записи:
      Вы можете оставить комментарий, или ссылку на Ваш сайт.
      Ищете где взять деньги не форекс? Читайте.

      Оставить комментарий

      Вы должны быть авторизованы, чтобы разместить комментарий.