Иллюстрированный самоучитель по Windows 2000
Делегирование
прав администрирования
Как правило, сети больших предприятий
на платформе Windows 2000 обладают чрезвычайно разветвленным деревом каталога.
Большое количество ветвей, а также наличие достаточно автономных площадок организации,
включенных в общее дерево каталога, усложняют управление. Администрирование
сети, каталог которой состоит из десятков тысяч объектов, не может безопасно
осуществляться одним или несколькими администраторами, имеющими права доступа
ко всем объектам.
В подобных случаях следует применять
делегирование прав администрирования.
Это чрезвычайно мощный инструмент,
который в больших организациях позволяет более эффективно сконфигурировать систему
безопасного администрирования. С его помощью управление отдельными областями
сети смогут осуществлять специально назначенные ответственные лица —
администраторы.
При делегировании прав администрирования очень важно наделять ответственных
лиц полномочиями, позволяющими выполнять функции администратора только в пределах
их зоны ответственности, они не должны иметь возможность администрировать объекты
каталога, находящиеся в других частях сети организации.
Права на создание новых пользователей
или групп предоставляются на уровне подразделения или контейнера, в котором
будут создаваться учетные записи. Администраторы групп одного подразделения
могут не иметь прав на создание и управление учетными записями другого подразделения
в том же домене. Однако, если права доступа и настройки политик получены на
более высоком уровне дерева каталога, они могут распространяться вниз по дереву
благодаря механизму
наследования прав доступа.
Оснастка
Active Directory
— пользователи и компьютеры
значительно облегчает просмотр информации о
делегировании прав администрирования различным контейнерам. Само делегирование
прав администрирования также может быть выполнено без затруднений, поскольку
интерфейс позволяет выбрать того, кому вы хотите делегировать права, и права,
которые следует делегировать.