- •Лабораторная работа №4.
- •Администрирование Active Directory
- •Изменение свойств учетной записи.
- •Удаление/отключение/включение учетной записи
- •Управление компьютерами
- •Управление общими папками
- •Добавление объектов в оп
- •Описание объектов Active Directory
- •Задание 2 : создание экземпляров оп и объектов User
- •Защита Active Directory
- •Разрешения доступа к объекту
- •Назначение разрешений Active Directory
- •Наследование разрешений
- •Рекомендации по администрированию Active Directory
Защита Active Directory
Администратор или владелец объекта должен назначить объекту разрешения доступа еще до того как пользователи смогут получать доступ к этому объекту. Windows 2003 хранит список управления доступом (access control list, ACL) для каждого объекта Active Directory. ACL объекта включает перечень пользователей, которым разрешен доступ к объекту, а так же набор допустимых над объектом действий.
Вы можете задействовать разрешения для назначения административных полномочий конкретному пользователю или группе в отношении ОП, иерархии ОП или отдельного объекта без назначения административных разрешений на управление другими объекта» ми Active Directory.
Разрешения доступа к объекту
Зависят от типа объекта — например, разрешение Reset Password допустимо для объектов User, но не для объектов Computer. Пользователь может быть членом нескольких групп с разными разрешениями для каждой их них, обеспечивающих разные уровни доступа к объектам. При назначении разрешения на доступ к объекту члену группы, наделенной иными разрешениями, эффективные права пользователя будут складываться из его разрешений и разрешений группы. Например, если ему предоставлено разрешение записи срока истечения учетной записи (Write accountExpires) для объектов User и он входит в группу, у которой есть разрешение на чтение срока истечения учетной записи (Read accountExpires), то фактически этот , пользователь будет иметь оба этих разрешения.
Вы можете предоставлять или аннулировать разрешения. Аннулированные разрешения для пользователей и групп приоритетнее любых выданных разрешений. Если Вы запретили пользователю обращаться к объекту, то он не получит доступ к нему даже как член полномочной группы. Аннулировать разрешения следует, только если требуется запретить какое-то действие для конкретного пользователя, входящего в полномочную группу.
Всегда проверяйте, что все объекты имеют минимум одного пользователя с разрешением Full Control (Полный доступ), иначе некоторые объекты станут недоступны
лицам, использующим оснастку Active Directory Users And Computers, включая администратора.
Назначение разрешений Active Directory
Настроить разрешения объектов и их атрибутов позволяет оснастка Active Directory Users And Computers. Назначить разрешения также можно на вкладке Security (Безопасность) диалогового окна свойств объекта.
Для выполнения большинства задач администрирования достаточно стандартных разрешений. Впрочем, Вам могут потребоваться и специальные разрешения. Чтобы их настроить, щелкните на вкладке Security кнопку Advanced (Дополнительно). На вкладке Permissions (Разрешения) щелкните интересующее Вас разрешение, а затем — кнопку View/ Edit (Показать/Изменить). Просмотреть разрешения конкретных атрибутов можно на вкладке свойств диалогового окна Permission Entry (Элемент разрешения).
Не назначайте разрешений отдельным атрибутам объектов — это усложнит администрирование системы. В итоге некоторые объекты Active Directory могут выйти из Вашего поля зрения.