Участник, достъп до реклама - статия за Microsoft Windows
Налагане на административни разрешения за обекти АД опростява управлението на големи инфраструктури АД
Без да делегира права АД е невъзможно да се разпредели отговорността за управлението на голям брой обекти АД (потребители, компютри, принтери, уебсайтове, домейни и т.н.) между няколко администратори. Един добър пример за успешна овластяване АД - осигуряването на специалисти за техническа поддръжка, обикновено са достатъчни да променят паролите за АД на потребителските акаунти, но не повече. АД делегиране на правомощия дава възможност да се децентрализира административни задачи и, като следствие, да се подобри ефективността на управлението, намаляване на разходите и подобряване на цялостната управляемост на големи ИТ инфраструктури.
1. Екран йерархия ОУ.
Фигура 1 показва структурата на ОУ, обхващаща няколко географски райони. Най-високо ниво на организационни единици отразяват континентите и инфраструктурата на града: Европа - най-високо ниво ОУ, под него са организационни единици за Брюксел (BRO), Дъблин (DBO), Амстердам (AMS) и Лондон (LON). ОУ всеки град е разделен на дъщерни дружества на видове, управлявани обекти: администратори, потребители, машини и принтери. Distinguished Name (уникалното име - DN) отразява нивото на прикачени файлове ОУ. Напр файлов сървър обект структура ОУ (Фигура 1) може да има следния DN: CN = FileServer1, ОУ = държави сървъри, ОУ = машини, ОУ = BRO, ОУ = ЕС, DC = к.с., DC = МС.
делегиране на административна организация
Участник административен орган с използването Делегация на съветника за контрол на Microsoft. Фигура 2 показва крайния екран на съветника, който е обобщение на делегираните правомощия. Съветник е на разположение на сайта, домейна и ОУ на конзолни добавки ползвателите на Active Directory и компютри и обекти на Active Directory и услуги конзола на Microsoft Management Console (MMC). администраторът може да изберете предварително дефинирани за делегиране на задачи, изброени в таблица 1. Възможно е да създавате собствени задачи, които по-точно да отразяват специфичните нужди на организацията, за да поставят проблема в Делегацията на съветника за контрол, или го описват предварително с Делегацията на Wizard контрол, а след това преминават господар.
Присъединявайки се към компютър към домейн. задължителен за управление на GPO.
задължителен за управление на GPO.
Създаване, изтриване и управление на потребителски акаунти. Създаване на потребителски пароли и промяна сила парола при следващото влизане. Прочети цялата информация за потребителя. Промяна на членството в групи. групи създаването, заличаване и контрол. задължителен за управление на GPO. Генериране Получено набор от политики (планиране). Генериране Получено набор от политики (фиксиране). Създаване, изтриване и управление на потребителски акаунти inetOrgPerson. Промяна на промяната на паролата inetOrgPerson и сила парола при следващото влизане. Информация за четенето inetOrgPerson.
Екран 3. файлови настройки Delegwiz.inf.
4. Екран раздела делегация в GPMC.
За по-пълно картографиране административен делегация в рекламата, може да се изгради интерфейс обичай администрация, наречена задача на конзолата, taskpad, администратор на ниво интерфейс, които са били делегирани разрешение. За да създадете конзола задача, трябва да се отвори нова конзола MMC и добавете, а след това с десния бутон върху конзолна контейнер и изберете New Taskpad View. Taskpad View Wizard Wizard ви помага да се създаде конзола задача. Специализирана MMC конзола taskpad и може да бъде записан като обикновени файлове и изпращане на администраторите електронна поща.
Препоръки за да делегират АД
Microsoft също така препоръчва следните делегира административни задачи, свързани с инфраструктурата АД:
За повече информация относно Microsoft АД делегация на препоръките, предвидени в документа «Най-добри практики за Active Directory Делегация».
Примери за делегиране на административни разрешения
Пример подкрепа.
Както беше отбелязано по-горе, административният делегацията на АД е полезно за техническа поддръжка. Организациите обикновено да делегира своите служители следните правомощия: възможност за промяна на пароли, задаване на свойства Потребителят трябва да сменя паролата на следващото влизане сметка и отключване потребителски акаунти, възстановяване на Профилът е заключен собственост.
трябва да им предоставят следните разрешения за ОУ, съдържащ потребителските акаунти да делегира административни задачи, изброени по-горе помощен персонал.
- Присвояване на разрешение Възстановяване на паролата на потребител обекти стойност Оставете да се даде разрешение за нулиране на пароли сметка.
- Присвоите разрешения оставяте lockoutTime за потребителското обекти стойност Оставете да се даде разрешение за отключване на сметки.
- Присвояване на разрешение Напиши pwdLastSet за потребителското обекти стойност Оставете да се даде разрешение за задаване на потребителя, трябва да сменя паролата на следващото влизане сметка имущество.
- Присвояване на разрешения прочетени AccountRestrictions за потребителски обекти стойност Оставете да се даде разрешение да чете всички опции за профила. Тя позволява на персонала за техническа поддръжка, за да се определи активен профил.
Един пример за самостоятелно потребителски акаунт на.
Екран 5. Умение pwdLastSet потребителски акаунт
Присвояване подразбиране сигурност ЕВРОВОК на обект клас АД може да бъде от диалоговия прозорец свойства на класа. Направете го по-лесно само с помощта на схема на директория MMC Active модула в конзолата. Преди стартиране на модула в, трябва да се регистрирате schmmgmt.dll библиотека. За да направите това, трябва да въведете следната команда:
Екран 6. Промяна на стандартното дескриптор за защита от н.е.
Екранът 7 показва разрешения, възложени на сигурност по подразбиране Self предмет на съоръженията за потребителя класа. Само обекти, които са създадени след промяната ще бъдат актуализирани при смяна на резолюцията на стандартен клас дескриптор за защита на обекти.
7. резолюция Standard екран на Аза главницата сигурност
Примерите за управление на мрежата. Таблица. 2 показва примери на задачи за управление на мрежата, които могат да бъдат делегирани на някои администратори в рамките на организацията, както и как да конфигурирате административен делегация.
Административен делегиране на задачи по управление на мрежата
Как да се организира делегация на АД
Назначаване на специални разрешителни за контейнер NetServices DHCP администратори в конфигурацията именуване контекст АД: Активиране разрешение Създаване DHCPclass обекти Активирайте позволи чете, пише, всички заверени Пише за съоръженията DHCP клас
Стартиране, спиране и пауза на DNS сървъри
Назначаване на специални разрешения в DNS DNS администратори (извършва под Настройки за сигурност, система за услуги, DNS сървър обект Default Domain Controller GPO): Активиране на разрешение за четене Активирайте резолюция старт, стоп, пауза и
Създаване на DFS главната директория
Назначаване на специални разрешения за DFS Configuration DFS администратори на контейнера в контекста на именуване на АД домейн: Активиране разрешение Създаване ftDfs обекти Активирайте позволи чете, пише, всички заверени пише на fTDfs обекти