Делегирование административных полномочий
Процесс делегирования только предоставляет пользователям необходимые полномочия для управления объектами. Чтобы предоставить пользователям действительную возможность применить эти полномочия, администратор должен создать для них необходимые инструменты. Используя механизм создания заказных управляющих консолей (ММС), описанный в главе 6 "Средства управления системой", администратор может создавать любой необходимый инструментарий, который и будет применяться пользователями для осуществления операций управления.
Помимо задачи делегирования полномочий, существует также задача отзыва уже предоставленных полномочий. Отзыв полномочий фактически означает отзыв у пользователей определенных разрешений на доступ к контейнерам, на уровне которых осуществлялось делегирование. Для отзыва указанных разрешений необходимо в окне свойств соответствующего контейнера перейти на вкладку Security (Безопасность). Для пользователей, которым были делегированы полномочия, необходимо снять флажки Allow (Разрешено) напротив соответствующих полномочий. Таким образом, администратор редактирует элементы списка управления доступом (ACL) выбранного контейнера. Флажки устанавливаются напротив соответствующих разрешений в ходе работы мастера делегирования. Понимая этот механизм, администратор может легко и гибко управлять объектами каталога и, как следствие, точнее настраивать Active Directory под стоящие перед ним задачи.
Кроме того, администратор всегда может восстановить для контейнера установки по умолчанию. Для этого необходимо в окне Advanced Security Settings (Дополнительные параметры безопасности) щелкнуть по кнопке Default (По умолчанию) (рис. 20.10). Однако следует помнить о том, что в результате будут отозваны все полномочия, предоставленные кому-либо на уровне данного контейнера. Кроме того, будут восстановлены полномочия, наследуемые контейнером от родительских объектов.
Рис. 20.10. Для отзыва всех делегированных полномочий необходимо нажать кнопку Default
Однако существует другой более гибкий способ управления предоставлением полномочий. Мастер позволяет делегировать полномочия как отдельным пользователям, так и группам. Наиболее удобным и оптимальным вариантом делегирования является применение групп безопасности. Это дает возможность управлять процессом делегирования управления через членство пользователей в выбранной группе. В этом случае для отзыва полномочий достаточно отозвать членство пользователя в группе.