Привет, сегодня, с позволения своего коллеги Дружкова Дмитрия (автора данной инструкции), поделюсь с Вами опытом делегирования административных полномочий для работы в Active Directory. Изначально задача заключается в том что бы предоставить ограниченные права рядовому сисадмину для администрирования Organization Unit (OU) отдельного филиала компании. Работать будем в WIndows Server 2008 R2.
Административные полномочия включают в себя полный доступ и распространяются на следующие объекты: Группа , Компьютер , Контакт , Общая папка , Подразделение , Пользователь , Принтер . Данные права доступа не распространяются на объект, на который непосредственно производится делегирование (например, права доступа на удаление контейнера отсутствуют).
Для делегирования полномочий на объект Active Directory необходимо иметь права доступа администратора на него.
1. Выделить требуемый объект и нажатием правой кнопкой мыши вызвать меню свойств (для этого в консоли «Active Directory – Пользователи и компьютеры» в меню «Вид» должен быть выбран пункт «Дополнительные компоненты» ). Выбрать пункт меню «Делегирование управления…»(рисунок 1).
Рисунок 1
2. В появившемся приветственном окне «Мастера делегирования управления» меню нажать кнопку «Далее» (рисунок 2).
Рисунок 2
3. В окне «Пользователи или группы» нажать кнопку «Добавить» и в появившемся меню выбрать требуемую группу безопасности или учётную запись (делегирование прав доступа на контейнер предпочтительно производить для доменной группы безопасности). После выбора всех требуемых учётных записей нажать «ОК» и «Далее» (рисунок 3).
Рисунок 3
4. В окне «Делегируемые задачи» выбрать «Создать особую задачу для делегирования» и нажать «Далее» (рисунок 4).
Рисунок 4
5. В окне «Тип объекта Active Directory» выбрать пункт меню «Только следующими объектами в этой папке:» и далее отметить следующие объекты:
· Группа объектов
· Компьютер объектов
· Контакт объектов
· Общая папка объектов
· Подразделение объектов
· Пользователь объектов
· Принтер объектов
Отметить пункты «Создать в этой папке выбранные объекты» и «Удалить из этой папки объекты».
Нажать кнопку «Далее» (рисунок 5).
Рисунок 5
6. В окне «Разрешения» оставить пункт меню «Общие» и выбрать «Полный доступ». Нажать «Далее» (рисунок 6).
Рисунок 6
7. В окне «Завершение мастера делегирования управления» нажать «Готово» (рисунок 7).
Рисунок 7
Спасибо за внимание!!!
В 2000-2003 это можно было внеся пользователя в некую Админскую группу, и выбрав к чему у него будет доступ и права.
В принципе тут я нового (для себя) мало чего увидел, разве что теперь для этого появился Визард… Правильно? Ну и, теперь нагляднее стало что именно сможет делать локальный сисадмин.
Нет Вячеслав Вы немного неправы, делегирование прав это не «Внесение человека в группу». Это присвоение группе или пользователю конкретных прав на определенный объект, например с помошью делегирования можно разрешить пользователю без прав менять атрибут «Описание» в объекте «Компьютер» в AD. Т.е. можно установить конкретные разрешения.
Вот тут я описывал подобный скрипт выполняющийся из под пользователя:
Залогиненные пользователи на ПК в консоли Active Directory онлайн. VBS скрипт
Такого простым включение в группу не сделаешь, ну только если предварительно этой группе делегированием назначить необходимые права.
Надеюсь понятно описал отличия )))
а всё-всё понял. Спасибо. В старом огнелисе не все картинки отображались, и читал вскользь.
Теперь увидел что можно намного тоньше управлять правами.
Правильно? Т.е. можно, даже например, дать человеку права самому рулить правами (NTFS) на доступ к файлам, и дать часть прав админа, не делая его админом?
Все верно!
Почему именно через «Особые задачи» в п.4?
Работа в интернете
http://thf.karsu.uz/index.php?subaction=userinfo&user=osyreryj