IT2web

Системному администратору Windows Server

Главная --> Active Directory --> Заставьте других работать или Делегирование полномочий в Active Directory

Заставьте других работать или Делегирование полномочий в Active Directory

Article Index
Заставьте других работать или Делегирование полномочий в Active Directory
Организация административного делегирования
Консоль Group Policy Management Console (GPMC)
Рекомендации по делегированию AD
Примеры делегирования административных разрешений
Пример самоуправления учетной записью пользователя.
Административное делегирование задач управления сетью
Инструменты делегирования AD от независимых поставщиков
All Pages

Наложение административных разрешений на объекты AD упрощает управление крупными инфраструктурами AD

Без делегирования прав AD невозможно распределить полномочия по управлению большим числом объектов AD (пользователей, компьютеров, принтеров, сайтов, доменов и т.д.) среди нескольких администраторов. Хороший пример успешного делегирования полномочий AD — предоставление специалистам службы технической поддержки прав, достаточных для изменения паролей пользовательских учетных записей AD, но не более того. Делегирование полномочий AD позволяет децентрализовать административные задачи и, как следствие, повысить эффективность управления, сократить затраты и улучшить общую управляемость крупных ИТ-инфраструктур.


Значение OU


 Делегирование прав AD возможно благодаря модели авторизации AD, которая поддерживает детализированные разрешения для объектов AD и наследование разрешений родительских объектов дочерними. Организационная единица (OU), контейнер объектов AD, — важный элемент механизма административного делегирования объектов AD. Можно делегировать административное управление объектами, которые содержатся в OU. Работая с OU, необходимо помнить следующее:

  • OU представляет собой контейнер объектов AD, используемый в первую очередь для иерархической организации объектов AD и делегирования полномочий управления этими объектами различным администраторам.
  • OU не являются субъектами безопасности. У них нет SID, поэтому их нельзя использовать в списках управления доступом (ACL). Кроме того, OU отличается от группы тем, что OU нельзя делегировать административные задачи. Параметры авторизации для объектов OU можно назначать через списки ACL.
  • Объект может находиться только в одной OU, хотя иерархически он может иметь несколько родительских OU.
  • OU привязана к единственному домену. Она не может распространяться на несколько доменов.
OU. Active Directory
Экран 1. Иерархия OU.

На экране 1 показана структура OU, охватывающая несколько географических районов. Организационные единицы верхнего уровня отражают континенты и города инфраструктуры: Европа — OU верхнего уровня, под ней находятся организационные единицы для Брюсселя (BRO), Дублина (DBO), Амстердама (AMS) и Лондона (LON). OU каждого города разделена на дочерние по типам администрируемых объектов: администраторам, пользователям, машинам и принтерам. Отличительное имя (distinguished name — DN) отражает уровень вложения OU. Например, объект fileserver в структуре OU (экран 1) может иметь следующее DN: CN=FileServer1, OU=Member Servers, OU=Machines, OU=BRO, OU=EU, DC=hp, DC=com.