Управление службой каталогов Active Directory
Делегирование административных прав
Вы можете делегировать права на администрирование на любом уровне доменного дерева, создавая в домене организационные подразделения и делегируя определенным пользователям или группам права на администрирование конкретных подразделений.
Прежде чем решить, какие организационные подразделения создавать и в каких их них должны находиться учетные записи или общие ресурсы, изучите структуру Вашей организации. К примеру, Вы можете создать организационное подразделение для предоставления какому-либо пользователю прав на администрирование учетных записей пользователей и компьютеров изо всех филиалов, относящихся к какому-то одному отделу (подразделению) в организации, (например, к финансовому отделу). Либо Вы можете предоставить пользователю административные права только на некоторые ресурсы внутри подразделения – например, на учетные записи компьютеров. Еще одним вариантом делегирования административных полномочий является предоставление пользователю прав на администрирование только организационного подразделения, соответствующего финансовому отделу, исключая любые вложенные подразделения.
В случае делегирования прав на администрирование Вам не придется создавать множество административных учетных записей, обладающих широкими полномочиями (например, правом управления всем доменом). И хотя, вероятно, Вы все же будете использовать стандартную группу Администраторы домена (Domain Admins) для администрирования всего домена, Вы сможете ограничить число учетных записей, входящих в эту группу, оставив в ней только надежных администраторов.
В Windows 2000 определено множество очень специфических разрешений и прав пользователей, которые могут использоваться для делегирования или ограничения административных прав. При совместном использовании организационных подразделений, групп и разрешений Вы можете должным образом определить административные права для конкретного человека: на весь домен, на все организационные подразделения домена или на какое-то одно подразделение.
Административные права могут быть предоставлены пользователю или группе при помощи мастера делегирования управления (Delegation of Control wizard). При использовании этого мастера Вам нужно выбрать пользователя или группу, которой Вы хотите делегировать управление, выбрать организационные подразделения и объекты, право управления которыми Вы хотите предоставить этим пользователям, а также выбрать разрешения на доступ и изменение объектов. К примеру, пользователю может быть предоставлено право на изменение свойства Владелец учетных записей (Owner of Accounts) без предоставления права на удаление учетных записей из этого организационного подразделения.
Чтобы делегировать управление организационным подразделением:
- Нажмите кнопку Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
- В дереве консоли двойным щелчком раскройте узел домена.
- В области сведений щелкните правой кнопкой мыши по организационному подразделению, после чего выберите пункт Делегировать управление (Delegate control), чтобы запустить мастер делегирования управления (Delegation of Control wizard), изображенный ниже.