Delegálása hozzáférést ad - cikket Microsoft Windows

Kivetése rendszergazdai jogosultságok AD objektumok leegyszerűsíti a nagy infrastruktúrák AD

Anélkül delegáló AD jogok lehetetlen, hogy osztja a felelősséget vállalni, számos tárgyat AD (felhasználók, számítógépek, nyomtatók, honlapok, tartományok, stb) sok rendszergazdák. Egy jó példa a sikeres felhatalmazása AD - a technikai támogatás szakemberek általában elegendő, ha megváltoztatjuk az AD felhasználói jelszavakat, de nem több. AD felhatalmazás lehetővé teszi decentralizálása adminisztratív feladatokat, és ennek következtében javul az irányítás hatékonyságát, csökkenti a költségeket és javítja az általános kezelhetőségét nagy informatikai infrastruktúra.

1. A képernyő hierarchia egységben.

Az 1. ábra a szerkezet a OU, amely több földrajzi területen. Felső szintű szervezeti egységek tükrözik a kontinensen és a város infrastruktúra: Európa - a legfelső szintű szervezeti egységben, alatta vannak a szervezeti egységek Brussels (BRO), Dublin (DBO), Amszterdam (AMS) és London (LON). OU minden városban van osztva leányvállalatok típusú kezelt objektumok: a rendszergazdák, felhasználók, gépek, és a nyomtatók. Megkülönböztetett név (megkülönböztető név - DN), ami tükrözi a szintet csatolt egységben. Pl, fileserver objektum szerkezet OU (1. ábra) a következő lehet DN: CN = FileServer1, OU = tagkiszolgálók, OU = Machines, OU = BRO, OU = EU, DC = hp, DC = com.

az adminisztrációs szervezet

Delegálása közigazgatási hatóság kényelmes használatával Delegációja Ellenőrző Wizard a Microsoft. A 2. ábra az utolsó képernyőn a varázsló, amely összefoglalja a felhatalmazásról. Wizard áll rendelkezésre a helyszínen, a domain és OU a beépülő modulok Active Directory felhasználók és számítógépek és az Active Directory helyek és szolgáltatások konzolt Microsoft Management Console (MMC). A rendszergazda megadhatja előre meghatározott feladatoknak az 1. táblázatban felsorolt Lehetséges, hogy az egyéni feladatok pontosabban tükrözi az egyedi igényeinek a szervezet, hogy a problémát a küldöttség Control varázsló, vagy leírni előre Delegációjával ellenőrző elindításához, majd át mester.

Összefogás a számítógép egy tartományhoz. kötő GPO kezelése.

kötő GPO kezelése.

Létrehozása, törlése és a felhasználói fiókok kezelésére. Beállítása a felhasználói jelszavakat és erő jelszó változtatás a következő bejelentkezést. Olvassa el az összes információt a felhasználó. Változás csoport tagsága. A létrehozása, törlése és a kontroll csoport. kötő GPO kezelése. Létrehoz Eredő házirendje (tervezés). Létrehoz Eredő házirendje (rögzítés). Létrehozása, törlése és a felhasználói fiókok kezelésére inetOrgPerson. A jelszó megváltoztatása inetOrgPerson és az erő jelszó változtatás a következő bejelentkezést. Olvasási információk inetOrgPerson.

Képernyő 3. Fájl Delegwiz.inf beállításokat.

4. Képernyő fül küldöttség kezelő konzol.

Egy teljesebb feltérképezése közigazgatási felhatalmazás az AD, meg lehet építeni egy egyéni adminisztrációs felület, az úgynevezett a konzol feladat, feladatlistát, egy adminisztrátor felület szintjén, ami ruháztak engedélyével. Ahhoz, hogy hozzon létre egy konzol feladat, meg kell nyitni egy új konzol MMC, és adjunk hozzá, majd a jobb egérgombbal Snap-in konténer és válassza az Új feladatlistát megtekintése. Feladatlistát megtekintése Wizard varázsló segít létrehozni egy konzol feladat. Specialized MMC konzol feladatlistát és menthetők a szabályos fájlokat és küldjön a rendszergazdák e-mailben.

Ajánlások delegálni AD

A Microsoft azt javasolja a következő delegált adminisztratív feladatok AD-vel kapcsolatos infrastruktúra:

További Microsoft AD küldöttsége a megadott ajánlásokat dokumentum «Legjobb gyakorlatok az Active Directory-küldöttség».

Példák delegáló rendszergazdai engedélyekkel

Példa támogatást.

Mint fentebb említettük, a közigazgatási felhatalmazás AD hasznos technikai támogatást. Szervezetek tipikusan átruházhatja alkalmazottai az alábbi hatásköröket: az képes megváltoztatni a jelszavakat, a tulajdonságokat kell változtatni a jelszót a következő bejelentkezéskor venni, és kinyit a felhasználói fiókok, helyreállít a Fiók zárolva tulajdon.

meg kell adnia őket a következő engedélyeket a OU tartalmazó felhasználói fiókokat delegálni közigazgatási fent felsorolt feladatokat a kisegítő személyzet.

Rendeljen engedélyt Jelszó visszaállítása a felhasználói objektumokat érték Hagyjuk, hogy adjon engedélyt visszaállításához fiók jelszavak.
Engedélyek hozzárendelése meg az írási lockoutTime felhasználói objektumok érték Hagyjuk, hogy adjon engedélyt, hogy feltárja számlákat.
Rendeljen engedélyt írása pwdLastSet felhasználói objektumok érték Hagyjuk, hogy adjon engedélyt, hogy állítsa be a kell változtatni a jelszót a következő bejelentkezéskor fióktulajdon.
Engedélyek hozzárendelése olvasása AccountRestrictions felhasználói objektumok értékkel lehet megadni az engedélyt, hogy olvassa el az összes fiók lehetőséget. Ez lehetővé teszi a technikai személyzet, hogy meghatározza az aktív fiókot.

Egy példa a saját felhasználói fiókját.

Képernyő 5. Képesség pwdLastSet felhasználói fiók

Alapértelmezett biztonsági leíró az osztály AD objektum lehet a tulajdonságok párbeszédablak az osztály. Tedd egyszerűbbé csak az Active Directory-séma beépülő modul konzolja. Megkezdése előtt a beépülő modul, regisztrálnia kell schmmgmt.dll könyvtárban. Ehhez meg kell adnia a következő parancsot:

Képernyő 6. Változás az alapértelmezett biztonsági leíró AD

A képernyő 7. ábra a jogosultságait az alapértelmezett biztonsági Self alávetett a Használati létesítményeket. Csak létrehozott objektumok a változás után frissítésre kerül, ha változik a felbontás standard osztályú biztonsági leíró objektumokat.

7. A standard képernyő felbontása a biztonsági fő Self

Példák a hálózati menedzsment. Táblázat. A 2. ábra példákat hálózati menedzsment feladatokat is át lehet ruházni bizonyos rendszergazdák egy szervezeten belül, és hogyan kell beállítani a közigazgatási felhatalmazás.

Adminisztratív küldöttség a hálózati menedzsment feladatok

Hogyan szervezzünk egy küldöttsége AD

Kinevezése különleges engedélyek konténer NetServices DHCP adminisztrátorok a névhasználati környezetében AD: Aktiválja engedélye létrehozása DHCPclass tárgyak aktiválása lehetővé teszi olvasás, írás, minden Validated ír DHCP osztályú létesítmények

Indítása, leállítása és szüneteltetése a DNS-szerverek

Kinevezése speciális engedélyek a DNS DNS-adminisztrátorok (mellett végzett biztonsági beállítások, rendszer szolgáltatások, a DNS Server objektumot Default Domain Controller GPO): Engedélyezi Olvasás engedéllyel Használj felbontású indítása, leállítása, és szünet

Létrehozása DFS gyökérkönyvtárban