Делегирование административных полномочий
После создания домена все полномочия на управление им сосредоточены в руках специальной категории пользователей – администраторов домена. Администраторы домена обладают абсолютными правами на выполнение любых операций. Следует заметить, что использование механизма организационных единиц и сайтов позволяет реализовывать домены огромного размера с разветвленной инфраструктурой. Управление подобным доменом характеризуется большой нагрузкой на администраторов. Однако реализация подобной инфраструктуры, отражающей логическую и физическую структуру организации, дает возможность делегировать выполнение определенной части задач на квалифицированных пользователей на "местах".
Механизм делегирования некоторой части административных полномочий выгодно отличается от подхода, когда проблема увеличения нагрузки на администраторов решается за счет увеличения их количества. Увеличение количества пользователей, обладающих неограниченными правами на управление доменом, нежелательно. Подобные права должны предоставляться исключительно квалифицированным специалистам, а привлечение большого числа квалифицированных специалистов сопряжено с высокими финансовыми затратами. Механизм делегирования предполагает передачу пользователям полномочий, необходимых для выполнения отдельных операций. Это рутинные операции, выполнение которых не требует от исполнителя обширных знаний. Делегирование этих операций пользователям в подразделениях и сайтах позволяет высвободить администратора для выполнения других более сложных задач.
С точки зрения архитектуры Active Directory, делегирование полномочий на выполнение некоторых операций подразумевает под собой предоставление пользователю необходимых разрешений на доступ к объектам каталога. Это разрешения на создание дочерних объектов, их удаление, изменение атрибутов и т. п. Подобные полномочия нужны для выполнения определенных операций.
В качестве примера можно привести ситуацию с созданием учетных записей для новых сотрудников, а также изменение паролей для существующих. Эти операции могут быть делегированы пользователям в организационных единицах (назовем их администраторами организационных единиц). Помимо разгрузки администратора домена, делегирование позволяет также сократить срок принятия элементарных решений. В приведенном примере для создания учетной записи не надо обращаться к администратору домена (который, в случае множества сайтов, может даже находиться в другом городе).
Операция делегирования административных полномочий осуществляется при помощи мастера Delegation of Control Wizard (Мастер делегирования полномочий). Этот мастер может быть вызван из оснасток Active Directory Users and Computers и Active Directory Sites and Services. Посредством этого мастера администратор может осуществлять делегирование полномочий на уровне отдельных контейнеров каталога.
Полный перечень контейнеров, на уровне которых может быть осуществлено делегирование, приведен в табл. 20.3. Существует два режима делегирования. В первом случае мастер предлагает выбрать из списка операцию, которая будет делегирована пользователю. Во втором случае администратор должен выбрать из списка объекты, право создания или удаление которых будет делегировано выбранной категории пользователей. Этот режим делегирования требует четкого понимания всех совершаемых действий и рассчитан на опытных администраторов.
Таблица 20.3. Уровни делегирования полномочий.
| Объект каталога | Описание |
|---|---|
| Контейнер Sites | Делегированные на этом уровне полномочия распространяются на все сайты леса доменов |
| Контейнер Inter-Site Transport | На этом уровне могут быть делегированы полномочия для управления соединениями сайтов (создание, конфигурирование или удаление), а также транспортами репликации |
| Контейнер Subnets | На этом уровне администратор может делегировать полномочия для управления подсетями, образующими сайты (создание, изменение и удаление) |
| Конкретный сайт | Используя этот уровень делегирования, администратор может предоставить полномочия на управление сайтом (в том числе и управление процессом репликации) |
| Конкретный домен | На этом уровне администратор может делегировать полномочия на включение клиентов в состав домена, что означает создание объекта, ассоциированного с учетной записью компьютера, а также полномочия на управление ссылками групповой политики на уровне домена |
| Конкретное подразделение (OU) | На этом уровне администратор может делегировать некоторым пользователям полномочия, действие которых ограничивается выбранным подразделением. Конкретные полномочия, которые будут делегированы, определяются целями, с которыми создавалось это подразделение |
| Контейнер Computers | Делегируя полномочия на этом уровне, администратор предоставляет пользователям полномочия на управление объектами, ассоциированными с учетными записями компьютеров |
| Контейнер Domain Controllers | На этом уровне администратор предоставляет пользователям полномочия на управление учетными записями контроллеров домена |
| Контейнер System | Делегируя полномочия на этом уровне, администратор предоставляет полномочия на управление объектами, значение атрибутов которых определяют параметры различных служб Active Directory |
| Контейнер Users | На этом уровне администратор предоставляет пользователям полномочие на управление учетными записями пользователей |