Делегирование административных задач

В этой главе мы имеем дело с гарантией безопасности объектов Active Directory. Все сказанное до сих пор являлось подготовкой к данному разделу, который посвящен использованию опций защиты для делегирования административных задач. Поскольку все объекты в Active Directory имеют ACL-список, вы можете управлять административным доступом к любому свойству любого объекта. Это означает, что вы можете предоставлять другим администраторам Active Directory очень точные разрешения, чтобы они могли выполнять только делегированные им задачи.

Хотя при делегировании административных прав можно очень сильно их детализировать, необходимо поддерживать равновесие между сохранением максимально возможной простоты вещей и удовлетворением требований безопасности. В большинстве случаев делегирование административных разрешений в Active Directory подпадает под один из следующих сценариев.

• Назначение полного управления одной OU. Довольно типична ситуация, когда компания имеет несколько офисов с локальным администратором в каждом офисе, который должен управлять всеми объектами локального офиса. Этот вариант может также использоваться компаниями, которые слили домены ресурсов Windows NT в OU одного домена Active Directory. Прежним администраторам доменов ресурсов можно дать полное управление всеми объектами, расположенными в определенной OU. Использование этой опции означает, что можно практически полностью децентрализовать администрирование вашей организации, имея единственный домен.
• Назначение полного управления определенными объектами в OU. Это разновидность первого сценария. В некоторых случаях компания может иметь несколько офисов, но локальные администраторы должны управлять только определенными объектами в OU данного офиса. Например, можно позволить локальному администратору управлять всеми объектами пользователей и групп, но не компьютерными объектами. В ситуации, когда домены ресурсов стали организацион-ньши единицами (OU), вы, возможно, захотите, чтобы администраторы OU управляли всеми компьютерными учетными записями и локальными группами в OU, но не пользовательскими объектами.
• Назначение полного управления определенными объектами всего домена. Некоторые компании имеют высоко централизованное администрирование пользователями и группами, когда только одна группа имеет разрешение добавлять и удалять учетные записи групп и пользователей. В этом сценарии данной группе можно давать полное управление объектами пользователей и групп независимо от того, где в пределах домена расположены объекты. Этот сценарий довольно типичен для компании с централизованной группой администрирования компьютерами и берверами. Компьютерной группе можно дать полное управление всеми компьютерными объектами в домене.
• Назначение прав на модификацию только некоторых свойств объектов. В некоторых случаях можно предоставить группе административное разрешение управлять поднабором свойств объекта. Например, устанавливать пароли для всех учетных записей пользователя, но не иметь других разрешений. Отделу кадров можно дать разрешение на модификацию личной и открытой информации, касающейся всех учетных записей пользователя в домене, но не давать разрешение на создание или удаление учетных записей пользователя.

Можно использовать эти опции и любую их комбинацию в Active Directory Windows Server 2003. Один из способов конфигурирования делегированных разрешений состоит в прямом обращении к списку ACL для объекта и конфигурировании разрешений. Это может быть достаточно сложным из-за большого числа доступных опций и реальной возможности сделать ошибку.
Чтобы сделать эту задачу более легкой, Active Directory Windows Server 2003 включает Delegation Of Control Wizard (Мастер делегирования управления).
Чтобы использовать Delegation Of Control Wizard, выполните следующие действия.

1. Откройте инструмент Active Directory Users And Computers и найдите родительский объект, которому нужно делегировать управление. В большинстве случаев делегировать управление можно на уровне OU, домена или контейнера, например, на уровне контейнеров Computers (Компьютеры) или Users (Пользователи). Щелкните правой кнопкой мыши на родительском объекте и выберите Delegate Control (Делегировать управление). Щелкните на кнопке Next (Далее).
2. На странице Users Or Groups (Пользователи или группы) выберите пользователей или группы, которым вы хотите делегировать управление. Щелкните на кнопке Add (Добавить), чтобы просмотреть Active Directory для поиска соответствующих пользователей или групп.
3. Затем выберите задачи, которые вы хотите делегировать. Окно (рис. 9-11) дает вам возможность выбрать задачи из списка обычных или создать собственную задачу для делегирования.

Рис. 9-11. Использование Delegation Of Control Wizard (Мастер делегирования управления) для выбора обычной задачи или создания собственной задачи для делегирования

4. Если вы выберите создание собственной задачи, можете задать тип объектов, которым вы хотите делегировать административные разрешения (рис. 9-12).

Рис. 9-12. Выбор типа объектов, которым будут делегированы разрешения

5. Можно выбрать уровни разрешений, которые вы хотите применить к объекту: полный контроль над объектом или доступ к определенным свойствам (рис. 9-13).

Рис. 9-13. Выбор специфических разрешений для делегирования

Delegation Of Control Wizard значительно облегчает делегирование управления по сравнению с конфигурированием разрешений через ACL-списки. Однако эффект от применения обоих методов одинаков, т.е. ACL-списки объектов изменяются для обеспечения соответствующего уровня доступа.