Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 11:

Управление группами и организационными единицами

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >

Делегирование администрирования OU

Лишь немногие администраторы говорили мне, что они создают организационные единицы исключительно в целях делегирования работы по администрированию предприятия. Они организуют свои OU в соответствии с организацией их компании и делегируют административные задачи членам отдела ИТ. Например, если компания организована по этажам здания, то делегированный администратор занимает свое место на соответствующем этаже.

Чтобы делегировать управление организационной единицей, щелкните правой кнопкой на объекте-OU в дереве консоли и выберите в контекстном меню пункт Delegate Control (Делегировать управление). В результате будет запущен мастер Delegation of Control Wizard. В появившемся окне щелкните на кнопке Next.

В следующем окне щелкните на кнопке Add, чтобы открыть диалоговое окно Select Users, Computers, or Groups. Используйте опции выбора в этом диалоговом окне, чтобы выбрать тип объекта (обычно это пользователь, но если вы создали группу пользователей с административными правами, то можете выбрать группу). Кроме того, выберите местоположение (обычно домен), в котором нужно выбрать делегата. Чтобы выполнить поиск нужного имени с помощью фильтров, щелкните на кнопке Advanced. Если вы знаете имя пользователя или группы для этой OU, то можете ввести имя без его поиска. Заполнив список делегатов, щелкните на кнопке Next.

Примечание. Вы не ограничены каким-либо одним делегированным администратором; для одной OU можно назначить несколько администраторов.

В следующем окне выберите задачи, которые хотите назначить этому делегату (рис. 11.5). Чем больше задач вы назначаете, тем более эффективной будет ваша схема делегирования, если ваш делегат имеет достаточные знания и опыт для правильного выполнения этих задач. По окончании щелкните на кнопке Next.

Выберите одну или несколько задач, которые хотите делегировать другому администратору

Рис. 11.5. Выберите одну или несколько задач, которые хотите делегировать другому администратору
Примечание. Мастер также предлагает вариант создания нестандартной задачи (Create a custom task), но предлагаемые задачи не совсем подходят для администрирования OU.

В следующем окне мастер выводит сводку вашего выбора. Щелкните на кнопке Back (Назад), если вы хотите что-то изменить, иначе щелкните на кнопке Finish.

Управление делегированием

Вы можете следить за делегированными функциями или управлять ими. В Windows Server 2003 нет встроенного средства, которое бы показывало, что определенная OU передана делегированному администратору. Поэтому вы должны следить за своими делегированными задачами извне Active Directory. Создайте электронную таблицу, базу данных или просто используйте блокнот для пояснительных записей. Неприятности на этом не кончаются - у вас нет также средства, чтобы модифицировать делегированные задачи (если вы изменили свое решение относительно области действия этих задач).

Управление делегированием - это один из существенных недостающих компонентов в Active Directory, но я нашел обходной способ, который иногда позволяет решать эту загадку: "Делегировал ли я администрирование этой OU, и если делегировал, то кому?"

Этот способ нельзя назвать идеальным, поскольку он позволяет только делать обоснованные предположения, а это, конечно, хуже, чем поиск надежного практического свидетельства. Но это лучшее, что мне удалось придумать.

Однако мой способ не дает результата, если вы делегировали OU не отдельному пользователю или созданной вами группе. Если вы использовали существующую административную группу, то никогда не найдете ответ на ваш вопрос по этой информации. Чтобы понять, почему, читайте дальше.

Дело в том, что искать пользователя или группу нужно в списке Permissions вкладки Security диалогового окна Properties для соответствующей OU. Если вы просто щелкнете правой кнопкой мыши на OU и выберете пункт Properties, то вкладка Security, видимо, не появится. Но она все же есть и лишь скрыта от вас по умолчанию. Чтобы вывести вкладку Security для объектов в оснастке Active Directory Users and Computers, выберите View/Advanced Features (Вид/Дополнительные возможности) в линейке меню консоли MMC.

Включив Advanced Features, щелкните правой кнопкой на OU, выберите пункт Properties, и вы увидите вкладку Security. На рис. 11.6 показана вкладка Security для OU с именем Lab. Вы увидите имя нужного пользователя или группы в списке пользователей и групп, имеющих полномочия по этой OU. Это ключ к разгадке! По умолчанию система предоставляет полномочия группам, которые используются по умолчанию. (Откройте OU, для которой вы не делегировали администрирование, или откройте новую OU, чтобы использовать ее как "стандарт", и вы увидите только имена обычных системных групп.)

По умолчанию имена отдельных пользователей не добавляются в список полномочий по организационной единице

Рис. 11.6. По умолчанию имена отдельных пользователей не добавляются в список полномочий по организационной единице

Во вкладке Security вы можете также удалить делегированного администратора или внести изменения в задачи, которые разрешено выполнять делегированному администратору.

  • Чтобы удалить делегирование, выберите имя делегата и щелкните на кнопке Remove.
  • Чтобы внести изменения в список делегированных задач, выберите имя делегата и щелкните на кнопке Advanced. В диалоговом окне Advanced Security Settings выберите любую запись, содержащую имя этого делегата, и щелкните на кнопке Edit. Затем внесите нужные вам изменения.
< Лекция 10 || Лекция 11: 1234 || Лекция 12 >