Защита Active Directory
Администратор или владелец объекта должен назначить объекту разрешения доступа еще до того, как пользователи смо- гут получать доступ к этому объекту. Windows Server хранит список управления доступом (access control list, ACL) для каждо- го объекта Active Directory.
ACL объекта включает перечень пользователей, которым разрешен доступ к объекту, а также набор допустимых над объ- ектом действий.
Можно задействовать разрешения для назначения админи- стративных полномочий конкретному пользователю или группе в отношении ОП, иерархии ОП или отдельного объекта без назначения административных разрешений на управление дру- гими объектами Active Directory.
Разрешения доступа к объекту
Зависят от типа объекта — например, разрешение Reset Password допустимо для объектов User, но не для объектов Computer.
Пользователь может быть членом нескольких групп с раз- ными разрешениями для каждой из них, обеспечивающих раз- ные уровни доступа к объектам. При назначении разрешения на доступ к объекту члену группы, наделенной иными разрешени- ями, эффективные права пользователя будут складываться из его разрешений и разрешений группы.
Можно предоставлять или аннулировать разрешения. Ан- нулированные разрешения для пользователей и групп приори- тетнее любых выданных разрешений.
Если пользователю запрещено обращаться к объекту, то он не получит доступ к нему даже как член полномочной группы.
Назначение разрешений Active Directory
Настроить разрешения объектов и их атрибутов позволяет оснастка Active Directory Users And Computers. Назначить раз- решения также можно на вкладке Security (Безопасность) диа- логового окна свойств объекта.
Для выполнения большинства задач администрирования достаточно стандартных разрешений.
Впрочем, могут потребоваться и специальные разрешения. Чтобы их настроить, щелкните на вкладке Security кнопку Advanced (Дополнительно). На вкладке Permissions (Раз- решения) нужно щелкнуть интересующее разрешение, а затем – кнопку View/ Edit (Показать/Изменить). Просмотреть разрешения конкретных атрибутов можно на вкладке свойств диалогового окна Permission Entry (Элемент разрешения).
Наследование разрешений
Наследование разрешений в Active Directory упрощает настройку доступа к объектам – можно применить разрешения к дочерним объектам текущего объекта. Для отмены наследования разрешений нужно сбросить флажок Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект) — дочерние объ- екты не будут наследовать разрешения своего родительского объекта, и объект получит лишь те разрешения, которые явно ему назначили. Предотвратить наследование можно на вкладке Security (Безопасность) диалогового окна свойств объекта.
При запрещении наследования можно:
скопировать ранее унаследованные разрешения — набор новых явных разрешений объекта будет копией разреше- ний, которые он ранее наследовал от родительского объекта; по- том разрешения можно скорректировать явно;
удалить унаследованные разрешения — Windows удаля- ет все унаследованные разрешения, т.е. для объекта вообще не будут определены разрешения; потом для него можно явно ука- зать любые разрешения.
Делегирование полномочий по управлению объектами
Можно предоставить полномочия управления объектами другим лицам, чтобы они могли самостоятельно администриро- вать объекты. Эту задачу можно выполнить по-разному, напри- мер, с помощью мастера Delegation Of Control (Мастер делеги- рования управления).
Администратор вправе делегировать такие функции:
назначение разрешений пользователю или группе на со- здание или изменение объектов в указанном ОП;
назначение разрешений пользователю или группе на изменение указанных разрешений для атрибутов объектов, например атрибута сброса паролей для объекта User Account.
Для запуска мастера Delegation Of Control (Мастер деле- гирования управления) откройте оснастку Active Directory Users And Computers, выберите ОП, для которого необходимо делеги- ровать административные полномочия, и в меню Action (Дей- ствие) щелкните команду Delegate Control (Делегиро- вание управления) (рис. 6.5).
Рис. 6.5. Запуск мастера делегирования управления
Do'stlaringiz bilan baham: |