Традиционно системный администратор объединял в себе все текущие функции управления доменом. Он создавал и удалял пользователей, добавлял компьютеры в домен, следил за членством в группах и т. п. Большинство таких рутинных операций без ущерба для функционирования сети может быть переложено на других сотрудников. Например, новые учетные записи пользователей в соответствующем подразделении могут создаваться сотрудником кадровой службы при оформлении приема на работу; компьютеры в домен добавляться сотрудниками технической службы сервиса; разработка групповых политик, предусматривающих установку специализированных программ, вестись техническими специалистами соответствующего отдела; добавление пользователей в группы безопасности - сотрудника ми подразделений безопасности и т. п. При этом за администратором предприятия сохранились бы все руководящие функции для возможных экстренных вмешательств, но "освободились руки" для подготовки и реализации стратегических решений.

Для того чтобы осуществить на практике такую передачу прав, которую принято называть делегированием, администратору достаточно изменить разрешения безопасности на соответствующий контейнер. Так, если необходимо делегировать кому-либо право создания пользователей, то этому сотруднику следует дать право на создание объекта типа "пользователь" в заданном подразделении. При этом перечень возможных прав доступа для контейнера является настолько подробным, что администратор без труда может настроить объем делегирования (например, дать право добавления в домен компьютеров, но лишить возможности изменения или удаления таких объектов).

Делегирование прав создания учетных записей позволит более тесно "связать" кадровые записи и записи служб каталогов. Учетная запись в этом случае может иметь только минимальные начальные права для входа в систему. Предоставление дальнейших прав по доступу к ресурсам (изменение членства в группах) могут осуществлять менеджеры соответствующих групп.

Большинство утилит графического управления объектами службы каталогов содержат в меню команду делегирования прав. Эта команда вызывает мастер, который меняет список прав доступа (рис. 4.7). Запуск данного мастера является самым простым способом делегирования прав на объекты. Но при этом администратору следует учитывать два момента.

Во-первых, всегда можно более точно откорректировать права доступа, если обратиться к редактированию параметров безопасности контейнера напрямик.

Мастер операций предлагает определить объем делегирования прав Во-вторых, хотя мастер делегирования прав присутствует в системе, но мастера отзыва прав не предусмотрено

Рис. 4.7. Мастер операций предлагает определить объем делегирования прав Во-вторых, хотя мастер делегирования прав присутствует в системе, но мастера отзыва прав не предусмотрено. Иными словами, если, например, необходимо передать право управления от одного сотрудника другому, то администратору придется вначале вручную исключить первого из списка доступа.

Команда ldifde | Самоучитель системного администратора | Просмотр и восстановление удаленных объектов каталога


Самоучитель системного администратора



Новости за месяц

  • Сентябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс