Делегирование административных полномочий
В табл. 20.4 перечислены задачи, выполнение которых администратор может делегировать на уровне отдельной организационной единицы, а также контейнеров Computers, Domain Controllers, ForeignSecurityPrincipals, System и Users.
Таблица 20.4. Задачи, которые могут быть делегированы на уровне организационных единиц.
| Задача | Описание |
|---|---|
| Create, delete, and manage user account | Полномочия на создание, удаление и управление учетными записями пользователей |
| Reset user passwords and force password change at next logon | Полномочия на изменение паролей учетных записей пользователей, а также установка требования на изменение пароля самим пользователем при следующей регистрации в системе |
| Read all user information | Полномочия на просмотр любой информации о пользователях |
| Create, delete, and manage groups | Полномочия на создание, удаление и управление группами пользователей |
| Modify the membership of a group | Полномочия на изменение членства в группе |
| Manage Group Policy links | Полномочия на управление ссылками групповой политики |
| Generate Resultant Set of Policy (Planning) | Полномочия, необходимые для генерации результирующих политик в режиме планирования |
| Generate Resultant Set of Policy (Logging) | Полномочия, необходимые для генерации результирующих политик в режиме ведения журнала |
| Create, delete and manage inetOrgPerson accounts | Полномочия на создание, удаление и управление объектами класса inetOrgPerson |
| Reset inetOrgPerson passwords and force password change at next logon | Полномочия на изменение паролей, сопоставленных объектам класса inetOrgPerson, а также установка требования на изменение пароля самим субъектом подсистемы безопасности при следующей регистрации в системе |
| Read all inetOrgPerson information | Полномочия на просмотр любой информации об объекте класса inetOrgPerson |
Процесс делегирования полномочий выполняется следующим образом. Запустите оснастку Active Directory Users and Computers. Выберите контейнер, для которого вы хотите делегировать полномочия и вызовите его контекстное меню. Выберите в меню пункт Delegate Control (Делегировать управление), чтобы запустить мастер Delegation of Control Wizard (Мастер делегирования полномочий). На странице Users or Groups необходимо определить пользователей, которым будут делегированы полномочия (рис. 20.7).
Рис. 20.7. Выбор пользователей, которым будут делегированы полномочия