Первые шаги вместе с Windows XP
Делегирование прав администрирования
Как правило, сети больших предприятий на платформе Windows XP обладают чрезвычайно разветвленным деревом каталога. Большое количество ветвей, а также наличие достаточно автономных площадок организации, включенных в общее дерево каталога, усложняют управление. Администрирование сети, каталог которой состоит из десятков тысяч объектов, не может безопасно осуществляться одним или несколькими администраторами, имеющими права доступа ко всем объектам.
В подобных случаях следует применять
делегирование прав администрирования. Это чрезвычайно мощный инструмент,
который в больших организациях позволяет более эффективно сконфигурировать систему
безопасного администрирования. С его помощью управление отдельными областями
сети смогут осуществлять специально назначенные ответственные лица — администраторы.
При делегировании прав администрирования очень важно наделять ответственных
лиц полномочиями, позволяющими выполнять функции администратора только в пределах
их зоны ответственности, они не должны иметь возможность администрировать объекты
каталога, находящиеся в других частях сети организации.
Права на создание новых пользователей или групп предоставляются на уровне подразделения или контейнера, в котором будут создаваться учетные записи. Администраторы групп одного подразделения могут не иметь прав на создание и управление учетными записями другого подразделения в том же домене. Однако, если права доступа и настройки политик получены на более высоком уровне дерева каталога, они могут распространяться вниз по дереву благодаря механизму наследования прав доступа.
Оснастка Active Directory
— пользователи и компьютеры значительно облегчает просмотр информации о
делегировании прав администрирования различным контейнерам. Само делегирование
прав администрирования также может быть выполнено без затруднений, поскольку
интерфейс позволяет выбрать того, кому вы хотите делегировать права, и права,
которые следует делегировать.
