IT2web

Системному администратору Windows Server

Главная --> Active Directory --> Заставьте других работать или Делегирование полномочий в Active Directory

Заставьте других работать или Делегирование полномочий в Active Directory



Индекс материала
Заставьте других работать или Делегирование полномочий в Active Directory
Организация административного делегирования
Консоль Group Policy Management Console (GPMC)
Рекомендации по делегированию AD
Примеры делегирования административных разрешений
Пример самоуправления учетной записью пользователя.
Административное делегирование задач управления сетью
Инструменты делегирования AD от независимых поставщиков
Все страницы

Наложение административных разрешений на объекты AD упрощает управление крупными инфраструктурами AD

Без делегирования прав AD невозможно распределить полномочия по управлению большим числом объектов AD (пользователей, компьютеров, принтеров, сайтов, доменов и т.д.) среди нескольких администраторов. Хороший пример успешного делегирования полномочий AD — предоставление специалистам службы технической поддержки прав, достаточных для изменения паролей пользовательских учетных записей AD, но не более того. Делегирование полномочий AD позволяет децентрализовать административные задачи и, как следствие, повысить эффективность управления, сократить затраты и улучшить общую управляемость крупных ИТ-инфраструктур.


Значение OU


 Делегирование прав AD возможно благодаря модели авторизации AD, которая поддерживает детализированные разрешения для объектов AD и наследование разрешений родительских объектов дочерними. Организационная единица (OU), контейнер объектов AD, — важный элемент механизма административного делегирования объектов AD. Можно делегировать административное управление объектами, которые содержатся в OU. Работая с OU, необходимо помнить следующее:

  • OU представляет собой контейнер объектов AD, используемый в первую очередь для иерархической организации объектов AD и делегирования полномочий управления этими объектами различным администраторам.
  • OU не являются субъектами безопасности. У них нет SID, поэтому их нельзя использовать в списках управления доступом (ACL). Кроме того, OU отличается от группы тем, что OU нельзя делегировать административные задачи. Параметры авторизации для объектов OU можно назначать через списки ACL.
  • Объект может находиться только в одной OU, хотя иерархически он может иметь несколько родительских OU.
  • OU привязана к единственному домену. Она не может распространяться на несколько доменов.
OU. Active Directory
Экран 1. Иерархия OU.

На экране 1 показана структура OU, охватывающая несколько географических районов. Организационные единицы верхнего уровня отражают континенты и города инфраструктуры: Европа — OU верхнего уровня, под ней находятся организационные единицы для Брюсселя (BRO), Дублина (DBO), Амстердама (AMS) и Лондона (LON). OU каждого города разделена на дочерние по типам администрируемых объектов: администраторам, пользователям, машинам и принтерам. Отличительное имя (distinguished name — DN) отражает уровень вложения OU. Например, объект fileserver в структуре OU (экран 1) может иметь следующее DN: CN=FileServer1, OU=Member Servers, OU=Machines, OU=BRO, OU=EU, DC=hp, DC=com.



 

Яндекс.Метрика