Роль Active Directory
Управление доступом
Управление доступом в Windows 2000 реализуется путем назначения администраторами дескрипторов безопасности объектам, таким как файлы, принтеры и службы. Дескриптор безопасности объекта содержит список управления доступом (ACL), в котором определяются пользователи (индивидуально или по группам), имеющие права на выполнение конкретных операций с данным объектом. Дескриптором безопасности объекта также определяются события доступа к данному объекту, подлежащие аудиту, например, запись в защищенный файл. Изменяя свойства объекта, администраторы могут устанавливать разрешения, назначать права владения и отслеживать доступ пользователей к объекту.
Администраторы могут контролировать доступ не только к самому объекту, но и к отдельным атрибутам этого объекта. Например, путем соответствующей настройки дескриптора безопасности можно разрешить доступ пользователей к некоторой части информации, такой как имя и номер телефона сотрудника, закрыв для просмотра другую часть, например, домашний адрес.
С помощью списков управления доступом (ACL) к объектам операционная система Windows 2000 сравнивает информацию о клиенте с информацией об объекте с целью определения того, имеет ли данный пользователь необходимые права доступа (например, разрешение на чтение/запись) к данному объекту (например, файлу). Проверка производится на уровне ядра подсистемы безопасности Windows 2000. В зависимости от результата сравнения служба ответит клиенту либо выполнением запроса, либо отказом в доступе.
Детализированный контроль доступа
Для обеспечения большей гибкости в регулировании настроек безопасности служба каталогов Active Directory предоставляет администраторам возможность детализированного контроля доступа к объектам каталога. Объекты в Active Directory, соответствующие пользователям или группам, могут иметь буквально сотни атрибутов, таких, как номера домашних и рабочих телефонов, имена руководителей, а также названия групп, в состав которых входит данный объект. Разрешения могут задаваться только для некоторых атрибутов выбранной учетной записи без предоставления прав на чтение/запись всех атрибутов. Можно также контролировать изменения в учетной записи пользователя или других записях в Active Directory для каждого атрибута.
Делегирование прав администрирования
Для того чтобы организации могли распределять ответственность за управление доменами между несколькими сотрудниками, Active Directory позволяет администраторам делегировать полномочия на выполнение задач администрирования в пределах леса или домена. Административный контроль может быть передан на любой уровень дерева доменов путем создания подразделений, включающих объекты, над которыми необходимо установить контроль, с последующим делегированием прав администрирования этих подразделений определенным пользователям или группам.
На уровне подразделения администратор может предоставить права на выполнение конкретных операций, таких как создание групп, управление списками пользователей в этих группах или создание учетных записей компьютеров в домене. Установки групповой политики и использование групп пользователей позволяют администраторам точно определять делегируемые полномочия. Например, можно передать права на изменение записей пользователей определенной группе, такой как группа поддержки бухгалтерии, при этом ограничив полномочия этой группы выбранными категориями пользователей, скажем, только служащими бухгалтерии, занимающимися платежными ведомостями.
Более того, благодаря возможности детализированного контроля доступа (описанного выше) администраторы могут точно определять круг делегируемых полномочий. Например, вместо предоставления прав полного доступа к учетным записям пользователей, администратор может разрешить группе поддержки только сброс паролей, не позволяя изменять адреса пользователей.
Примечание
Для получения дополнительных сведений о связи Active Directory с системой безопасности, смотрите документ Пользователи, компьютеры и группы в Active Directory Active Directory Users, Computers, and Groups (EN) в Технической библиотеке Windows 2000 Server.