Иллюстрированный самоучитель по Microsoft Windows 2003

Делегирование административных полномочий

После создания домена все полномочия на управление им сосредоточены в руках специальной категории пользователей – администраторов домена. Администраторы домена обладают абсолютными правами на выполнение любых операций. Следует заметить, что использование механизма организационных единиц и сайтов позволяет реализовывать домены огромного размера с разветвленной инфраструктурой. Управление подобным доменом характеризуется большой нагрузкой на администраторов. Однако реализация подобной инфраструктуры, отражающей логическую и физическую структуру организации, дает возможность делегировать выполнение определенной части задач на квалифицированных пользователей на "местах".

Механизм делегирования некоторой части административных полномочий выгодно отличается от подхода, когда проблема увеличения нагрузки на администраторов решается за счет увеличения их количества. Увеличение количества пользователей, обладающих неограниченными правами на управление доменом, нежелательно. Подобные права должны предоставляться исключительно квалифицированным специалистам, а привлечение большого числа квалифицированных специалистов сопряжено с высокими финансовыми затратами. Механизм делегирования предполагает передачу пользователям полномочий, необходимых для выполнения отдельных операций. Это рутинные операции, выполнение которых не требует от исполнителя обширных знаний. Делегирование этих операций пользователям в подразделениях и сайтах позволяет высвободить администратора для выполнения других более сложных задач.

С точки зрения архитектуры Active Directory, делегирование полномочий на выполнение некоторых операций подразумевает под собой предоставление пользователю необходимых разрешений на доступ к объектам каталога. Это разрешения на создание дочерних объектов, их удаление, изменение атрибутов и т. п. Подобные полномочия нужны для выполнения определенных операций.

В качестве примера можно привести ситуацию с созданием учетных записей для новых сотрудников, а также изменение паролей для существующих. Эти операции могут быть делегированы пользователям в организационных единицах (назовем их администраторами организационных единиц). Помимо разгрузки администратора домена, делегирование позволяет также сократить срок принятия элементарных решений. В приведенном примере для создания учетной записи не надо обращаться к администратору домена (который, в случае множества сайтов, может даже находиться в другом городе).

Операция делегирования административных полномочий осуществляется при помощи мастера Delegation of Control Wizard (Мастер делегирования полномочий). Этот мастер может быть вызван из оснасток Active Directory Users and Computers и Active Directory Sites and Services. Посредством этого мастера администратор может осуществлять делегирование полномочий на уровне отдельных контейнеров каталога.

Полный перечень контейнеров, на уровне которых может быть осуществлено делегирование, приведен в табл. 20.3. Существует два режима делегирования. В первом случае мастер предлагает выбрать из списка операцию, которая будет делегирована пользователю. Во втором случае администратор должен выбрать из списка объекты, право создания или удаление которых будет делегировано выбранной категории пользователей. Этот режим делегирования требует четкого понимания всех совершаемых действий и рассчитан на опытных администраторов.

Таблица 20.3. Уровни делегирования полномочий.

Объект каталога Описание
Контейнер Sites Делегированные на этом уровне полномочия распространяются на все сайты леса доменов
Контейнер Inter-Site Transport На этом уровне могут быть делегированы полномочия для управления соединениями сайтов (создание, конфигурирование или удаление), а также транспортами репликации
Контейнер Subnets На этом уровне администратор может делегировать полномочия для управления подсетями, образующими сайты (создание, изменение и удаление)
Конкретный сайт Используя этот уровень делегирования, администратор может предоставить полномочия на управление сайтом (в том числе и управление процессом репликации)
Конкретный домен На этом уровне администратор может делегировать полномочия на включение клиентов в состав домена, что означает создание объекта, ассоциированного с учетной записью компьютера, а также полномочия на управление ссылками групповой политики на уровне домена
Конкретное подразделение (OU) На этом уровне администратор может делегировать некоторым пользователям полномочия, действие которых ограничивается выбранным подразделением. Конкретные полномочия, которые будут делегированы, определяются целями, с которыми создавалось это подразделение
Контейнер Computers Делегируя полномочия на этом уровне, администратор предоставляет пользователям полномочия на управление объектами, ассоциированными с учетными записями компьютеров
Контейнер Domain Controllers На этом уровне администратор предоставляет пользователям полномочия на управление учетными записями контроллеров домена
Контейнер System Делегируя полномочия на этом уровне, администратор предоставляет полномочия на управление объектами, значение атрибутов которых определяют параметры различных служб Active Directory
Контейнер Users На этом уровне администратор предоставляет пользователям полномочие на управление учетными записями пользователей
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.