Книга Active directory

Целегирование задач управления членством в группе

1осле создания группы задачи управления членством в ней можно делегиро1ать команде или отдельному лицу, которое отвечает за ресурсы, управляемые руппой. Предположим, что ваш финансовый директор должен подготовить ноджет на следующий год. Вы создаете для бюджета общую папку и назнагаете разрешение записи (Write) группе ACL_Budget_Edit. Если кому-либо •ребуется доступ к папке бюджета, он обращается в отдел справки с запросом, таел справки обращается к финансовому директору за подтверждением, после [его добавляет пользователя в группу ACL_Budget_Edit. Чтобы ускорить проlecc, вы можете разрешить финансовому директору самому изменять членство i группе. Таким образом, пользователи, которым нужен доступ, могут непос- >едственно обратиться к финансовому директору, и он внесет изменения без •руппы справки. Чтобы делегировать право управления членством в группе,

iнужно назначить финансовому директору разрешение Разрешить запись члена Allow Write Member) для группы. Членство в группе предоставляет многоначный атрибут member. Существует несколько способов делегировать право аписи члена в группу. Два из них описаны в следующем подразделе.

iДелегирование права управлять членством в группе

помощью вкладки управления

[роще всего делегировать право управлять членством в группе при помощи кладки Управляется (Managed By). Эта вкладка диалогового окна Свойства (Properties) выполняет две функции (рис. 4-9). Во-первых, она содержит контактные данные менеджера группы. Посредством этой информации можно связаться с владельцем группы, чтобы получить согласие на добавление пользователя в группу.

' Вторая функция вкладки Управляется (Managed By) — делегирование атрибута member. Обратите внимание на флажок Менеджер может изменять членов группы (Manager Can Update Membership List), показанный на рис. 4-9. Если установить этот флажок, пользователь или группа, указанная в поле Имя (Name), получит разрешение WriteMember. Если сменить или удалить менеджера, в список ACL группы будет внесено соответствующее изменение.

Вставить группу на вкладке Управляется (Managed By) диалогового окна свойств другой группы не так просто. Если щелкнуть кнопку Изменить (Change), откроется диалоговое окно Выбор: "Пользователь", "Контакт" или "Группа " (Select User, Contact, or Group), представленное на рис. 4-10. Если ввести имя группы и щелкнуть ОК, возникнет ошибка. Дело в том, что это диалоговое окно не отконфигурировано для указания групп в качестве действительных типов объектов, хотя слово Группа (Group) есть,в названии окна.

IЧтобы обойти это ограничение, щелкните кнопку Типы объектов (Object Types)

иустановите флажок Группы (Groups). Щелкните О К, чтобы закрыть оба диалоговых окна — Типы объектов и Выбор. Чтобы назначить разрешение WriteMember для группы, установите флажок Менеджер может изменять членов группы (Manager Can Update Membership List). При указании группы

Делегирование задач управления всем группам в подразделении

1.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers) щелкните меню Вид (View) и установите флажок Дополнительные компоненты (Advanced Features).

2. Щелкните правой кнопкой м ы ш и подразделение, содержащее необходимые группы, и примените команду Свойства (Properties).

3. Перейдите на вкладку Безопасность (Security). 4. Щелкните кнопку Д о п о л н и т е л ь н о (Advanced).

5. В диалоговом окне Д о п о л н и т е л ь н ы е параметры безопасности (Advanced Security Settings) щелкните кнопку Добавить (Add).

Если кнопка Добавить ( A d d ) не отображается, щелкните кнопку Изменить (Edit), а затем кнопку Добавить (Add) .

6. В диалоговом окне В ы б о р (Select) введите имя группы, которой хотите предоставить разрешение, и л и щ е л к н и т е кнопку Размещение (Browse), чтобы найти эту группу. Указав группу, щелкните ОК .

7. Откроется диалоговое окно Элемент разрешения (Permission Entry), представленное на рис. 4-12. Перейдите на его вкладку Свойства (Properties).

СМЙШЯ j

в группе всем группам подразделения Группы

8. В раскрывающемся списке Применять (Apply То) выберите параметр Дочерние объекты: Группа (Descendant Group Objects). Если вы используете предыдущую версию оснастки, выберите параметр Объекты: Группа (Group Objects).

9.В списке Разрешения (Permissions) установите флажки Разрешить (Allow) напротив Чтение членов группы (Read Members) и Запись членов группы (Write Members).

По умолчанию всем пользователям разрешено чтение членов группы, так что это разрешение не требуется. Однако контроль доступа на основе ролей

лучше всего реализовать, назначая все разрешения, необходимые для той или иной задачи, а не полагаясь на косвенное назначение разрешений.

10. Щелкните ОК, чтобы закрыть все диалоговые окна безопасности.

Теневые группы

Роль групп в управлении предприятием очень велика. Группам назначаются разрешения доступа к ресурсам. Группы можно использовать д л я фильтрации области действия объектов групповой политики. Группам назначаются гранулированные политики паролей. Группы можно применять как коллекции в таких инструментах управления конфигурацией, как Microsoft System Center Configuration Manager. Этот список можно продолжать долго.

Подразделения ( O U ) для управления п р е д п р и я т и е м п р и м е н я ю т с я не так часто, а в некоторых случаях использовать их вообще нельзя. Например, подразделению нельзя назначать разрешения доступа к ресурсам и гранулированные политики паролей, описанные в главе 8. И з н а ч а л ь н о е назначение подразделения состоит в предоставлении части у п р а в л е н и я делегированием административных полномочий для управления объектами в этом подразделении. Другими словами, подразделение пользователей позволяет делегировать справочному отделу право смены паролей всех пользователей в этом подразделении. Подразделения представляют собой административные контейнеры.

Причина различия функций подразделений и групп в том, что подразделения не обеспечивают такую гибкость, как группы. Пользователь, компьютер или другой объект может существовать только в контексте отдельного подразделения, а принципал безопасности может принадлежать ко многим группам. Поэтому группы используются для объединения объектов идентификации, обеспечивая возможности, необходимые этим объектам идентификации .

Иногда все же возникает необходимость в использовании подразделения для управления предприятием. Например, всем пользователям подразделения может понадобиться доступ к папке или уникальная п о л и т и к а паролей. Эти параметры нельзя назначить непосредственно, однако такую задачу можно выполнить, создав так называемую теневую группу. Теневая группа состоит из тех же пользователей, которые включены в подразделение . Если точнее, теневая группа состоит из пользователей, соответствующих определенному критерию.

Самый простой способ создания теневой группы — создать группу, а затем нажать в подразделении с пользователями комбинацию к л а в и ш Ctrl+A, чтобы выбрать всех пользователей. Щелкните правой кнопкой м ы ш и любого выбранного пользователя и примените команду Добавить в группу (Add То Group). Введите имя созданной группы и щелкните О К .

СОВЕТ К ЭКЗАМЕНУ

На сертификационном экзамене 70-640 необходимо знать понятие теневой группы. Помните, что членами теневой группы будут пользователи подразделения.

К сожалению, в Windows пока нет способа динамической поддержки членства в теневой группе. П р и добавлении или удалении пользователя подразделения нужно также добавлять или удалять этого пользователя в теневой группе.

Группы по умолчанию

На сервере Windows Server 2008 автоматически создается множество так называемых локальных групп по умолчанию, включая группы Администраторы (Administrators), Операторы архива (Backup Operators) и Пользователи удаленного рабочего стола (Remote Desktop Users). В контейнерах Builtin и Users домена создаются дополнительные группы, в том числе Администраторы домена (Domain Admins), Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins). Далее описаны возможности поднабора групп по умолчанию, которым предоставлены разрешения и пользовательские права, связанные с управлением Active Directory.

(Administrators) в каждом домене леса; она предоставляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация (Configuration) каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.

•Администраторы с х е м ы ( S c h e m a Admins) в контейнере Users корневого

домена л е с а Эта группа имеет полный доступ к схеме Active Directory.

• Администраторы ( A d m i n i s t r a t o r s ) в контейнере Builtin каждого домена Эта группа имеет п о л н ы й доступ ко всем контроллерам домена и данным в контексте и м е н о в а н и я домена. Она может изменять членство во всех административных группах домена, а группа Администраторы (Administrators) в корневом домене леса может изменять членство в группах Администраторы предприятия (Enterprise Admins), Администраторы схемы (Schema Admins) и Администраторы домена (Domain Admins). Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.

•Администраторы д о м е н а ( D o m a i n Admins) в контейнере Users каждого

домена Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.

• Операторы с е р в е р а ( S e r v e r O p e r a t o r s ) в контейнере Builtin каждого домена Эта группа может решать задачи технической поддержки на контроллерах домена. Операторы сервера могут локально входить в систему, запускать и останавливать службы, выполнять резервное копирование и восстановление, форматировать диски, создавать и удалять общие ресурсы, а также

Из-за такой перезаписи параметров делегирования и применения защиты рекомендуется не добавлять пользователей в группы, которые по умолчанию не содержат членов: Операторы учета (Account Operators), Операторы архива (Backup Operators), Операторы сервера (Server Operators) и Операторы печати (Print Operators). Вместо этого создайте настраиваемые группы и назначьте им права и разрешения доступа в соответствии с потребностями работы и администрирования. Например, если пользователь Скотт Митчелл должен выполнять операции резервного копирования на контроллере домена, но не операции восстановления, которые могут привести к откату или повреждению базы данных, и также не должен завершать работу контроллера домена, его учетную запись нельзя помещать в группу Операторы архива (Backup Operators). Вместо этого нужно создать группу и назначить ей л и ш ь разрешение Архивировать файлы и каталоги (Backup Files And Directories), а затем добавить в эту группу пользователя Скотта Митчелла .

На сайте Microsoft TechNet есть ссылка на исчерпывающую информацию о группах домена и локальных группах по умолчанию. На сертификационном экзамене потребуется знать разрешения этих групп. Информацию о группах домена по умолчанию можно найти по адресу http://technet2.microsoft.com/WindowsServer/en/library/ 1631acad-ef34-4f77-9c2e-94a62f8846cf1033.mspx, а сведения о локальных группах по умолчанию находятся по адресу http://technet2.microsoft.com/WindowsSeiver/en/

Iibrary/f6e01e51-14ea-48f4-97fc-5288a9a4a9b 11033.mspx.

Особые объекты идентификации

В Windows и Active Directory т а к ж е поддерживаются особые объекты идентификации, членством которых в группах управляет операционная система. Эти группы не отображаются в списках оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Вы не можете просматривать и м о д и ф и ц и р о в а т ь параметры членства этих особых объектов идентификации в группах, а также добавлять эти объекты в другие группы. Однако вы можете использовать эти группы д л я назначения прав и разрешений доступа. Далее описаны самые в а ж н ы е из особых объектов идентификации, которые для удобства часто называются группами.