Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 9 (всего у книги 91 страниц)
6. Чтобы просмотреть отдельную запись АСЕ разрешения, выберите ее и щелк-
ните кнопку Изменить (Edit). Откроется диалоговое окно Элемент разре-
шения (Permission Entry) с записями АСЕ, которые составляют элемент
разрешения (рис. 2-17).
Занятие 3 Делегирование и безопасность объектов Active Directory 73
(ЕЗПЕЯШ
OliHt 'l»«T«Ur> I
N«nw, J SUP Ch«ng< ^J
ApptyU. f n « 06*t city
" Б
Alow
(•Viny
~PMDT>WIOF>4IRTORM*UON
•
• .]
WiM p«r tonal rV с» melon
•
0 – J
P*ed pbor* and m«J option*
EL
0
0
•
P u d pivat« Hormetlon
•
•
WrM privaU rformrflon
•
•
P«*dpubfc »Vc*m«tJon
П
•
Wrte put* r/oxTMtiofi
•
•
t'Md r«not« accvM mtofrneuon
•
•
•
•
r •
E 1
П
n – i l
Clm *l 1
" '' • v.
_ I' 1 —
Рис. 2-17. Диалоговое окно элемента разрешения
Контрольный вопрос
ш Вам требуется просмотреть разрешения доступа, назначенные подразде-
лению. Вы открыли диалоговое окно свойств подразделения и не увидели
вкладку безопасности. Что нужно сделать в такой ситуации?
Ответ на контрольный вопрос
• В оснастке Active Directory – пользователи и компьютеры (Active Directory
Users And Computers) щелкните меню Вид (View) и выберите Дополнитель-
ные компоненты (Advanced Feature).
Управление доступом к объектам и свойствам
Список D A C L о б ъ е к т а п о з в о л я е т н а з н а ч а т ь р а з р е ш е н и я доступа к конкретным
свойствам объектов. К а к в и д н о на рис. 2-17, вы м о ж е т е разрешать и запрещать
право и з м е н е н и я п а р а м е т р о в т е л е ф о н а и э л е к т р о н н о й почты, то есть не одно
свойство, а набор к о н к р е т н ы х свойств. Н а б о р ы с в о й с т в у п р о щ а ю т у п р а в л е н и е
р а з р е ш е н и я м и доступа к ш и р о к о и с п о л ь з у е м ы м к о л л е к ц и я м свойств объектов.
Тем не менее вы м о ж е т е п о л у ч и т ь еще более г р а н у л и р о в а н н ы й у р о в е н ь разре-
ш е н и я и з а п р е т а д о с т у п а – л и ш ь м о б и л ь н о г о т е л е ф о н а и л и т о л ь к о д о м а ш н е г о
адреса.
Р а з р е ш е н и я т а к ж е м о ж н о н а з н а ч а т ь д л я у п р а в л е н и я п р а в а м и к о н т р о л я
доступа, т а к и м и к ак сброс и л и и з м е н е н и е п а р о л я . В а ж н о п о н и м а т ь р а з н и ц у
между этими п р а в а м и . Е с л и в ы и м е е т е п р а в о и з м е н я т ь пароль, н у ж н о знать
текущий п а р о л ь и ввести его перед в н е с е н и е м и з м е н е н и й . Е с л и же вы имеете
право сброса пароля, з н а т ь т е к у щ и й п а р о л ь вам не понадобится.
И, наконец, разрешения можно назначать для объектов. Например, разрешение
на изменение объекта у п р а в л я е т с я А С Е – з а п и с ы о р а з р е ш е н и я м о д и ф и к а ц и й .
74 Администрирование
Глава 2
Разрешения объектов дают право создавать дочерние объекты. Например, груп-
пе технической поддержки можно назначить разрешения создавать объекты
компьютеров в подразделении для настольных систем и ноутбуков. Группе
технической поддержки подразделения можно назначить АСЕ-запнсь разре-
шения создания объектов компьютеров.
Типом и областью действия разрешении можно управлять с п о м о щ ь ю двух
вкладок – Объект (Object) и Свойства (Properties), а также при п о м о щ и рас-
крывающихся списков Применять (Apply То) на каждой вкладке.
Назначение разрешения в диалоговом окне дополнительных
параметров безопасности
Рассмотрим сценарий, где службе технической поддержки т р е б у е т с я р а з р е -
шить изменять пароль учетной записи пользователя Д ж е й м с а Ф а й н а . В э т о м
подразделе мы вначале рассмотрим самый с л о ж н ы й способ – п о с р е д с т в о м
назначения записи АСЕ в списке DACL объекта пользователя. З а т е м расска-
жем, как с помощью Мастера делегирования управления (Delegation of Control
Wizard) выполнять делегирование для целого подразделения п о л ь з о в а т е л е й ,
и обсуднм преимущества последнего метода.
1. Откройте оснастку Active Directory – пользователи и к о м п ь ю т е р ы ( A c t i v e
Director)' Users and Computers).
2. Щелкните меню Вид (View) и выберите Д о п о л н и т е л ь н ы е к о м п о н е н т ы
(Advanced Features).
3. Щелкните объект правой кнопкой мыши и примените команду С в о й с т в а
(Properties).
4. Перейдите на вкладку Безопасность (Security).
5. Щелкните кнопку Дополнительно (Advanced).
6. Щелкните кнопку Добавить (Add).
Если включен Контроль учетных записей (User Account C o n t r o l ) , м о ж е т
потребоваться щелкнуть кнопку Изменить (Edit) и ввести а д м и н и с т р а т и в -
ные учетные данные, чтобы отобразить кнопку Добавить.
7. В диалоговом окне Выбор (Select) выберите п р и н ц и п а л безопасности, ко-
торому будут назначены разрешения.
Лучше всего назначать разрешения группам, а не отдельным пользователям.
Выберите группу технической поддержки.
8. Щелкните ОК.
Откроется диалоговое окно Элемент разрешения (Permission E n t r y ) .
9. Отконфигурируйте разрешения.
На вкладке Объект (Object) прокрутите список Разрешения (Permissions)
и выберите разрешение Сброс пароля (Reset Password),
10. Щелкните OK, чтобы закрыть все диалоговые окна.
Занятие 3
Делегирование и безопасность объектов Active Directory
7 5
Наследование разрешений
Очевидно, что н а з н а ч а т ь г р у п п е т е х н и ч е с к о й п о д д е р ж к и р а з р е ш е н и я сброса
паролей д л я каждого отдельного объекта пользователя слишком утомительно и
это может привести к ошибкам, Вместо этого разрешения можно назначать под-
разделениям. Р а з р е ш е н и я , н а з н а ч е н н ы е подразделению, будут наследоваться
всеми объектами в нем. Т а к и м образом, если предоставить группе технической
поддержки р а з р е ш е н и е с б р о с а п а р о л е й объектов пользователей и прикрепить
это р а з р е ш е н и е к п о д р а з д е л е н и ю , с о д е р ж а щ е м у пользователей, р а з р е ш е н и е
унаследуют все о б ъ е к т ы п о л ь з о в а т е л е й в п о д р а з д е л е н и и . Так д е л е г и р у е т с я
а д м и н и с т р а т и в н а я задача.
В к о н ц е п ц и и н а с л е д о в а н и я ничего с л о ж н о г о нет. Д о ч е р н и е объекты насле-
дуют р а з р е ш е н и я р о д и т е л ь с к о г о к о н т е й н е р а и л и подразделения. Этот контей-
нер или подразделение, в свою очередь, наследует разрешения от родительского
контейнера и л и п о д р а з д е л е н и я , и так п р о д о л ж а е т с я до контейнера или под-
разделения в ы с ш е г о у р о в н я самого домена. П р и ч и н а наследования дочерними
объектами р а з р е ш е н и й р о д и т е л ь с к и х о б ъ е к т о в в том, что по умолчанию каж-
дый н о в ы й объект с о з д а е т с я с в к л ю ч е н н ы м параметром Добавить разрешения,
наследуемые от р о д и т е л ь с к и х о б ъ е к т о в ( I n c l u d e Inheritable Permissions From
This O b j e c t ' s P a r e n t ) . Э т о т ф л а ж о к п о к а з а н н а рис. 2-16.
Д о ч е р н и й о б ъ е к т п о л у ч а е т т о л ь к о наследуемые разрешения, но не все раз-
р е ш е н и я н а с л е д у е м ы . Н а п р и м е р , р а з р е ш е н и е с б р о с а п а р о л е й , назначенное
подразделению, не будет н а с л е д о в а т ь с я о б ъ е к т а м и группы, поскольку объекты
группы не р а с п о л а г а ю т а т р и б у т о м п а р о л я . Н а с л е д о в а н и е п р и м е н и м о к специ-
ф и ч е с к и м к л а с с а м о б ъ е к т о в , а п а р о л и п р и м е н и м ы к объектам пользователей,
по не к г р у п п а м . К р о м е того, о б л а с т ь н а с л е д о в а н и я р а з р е ш е н и я можно указать
с помощью п о л я П р и м е н я т ь ( A p p l y Т о ) д и а л о г о в о г о окна Элемент разрешения
(Permission E n t r y ) . П о у м о л ч а н и ю н о в ы й объект наследует о т родительского
(обычно п о д р а з д е л е н и я и л и к о н т е й н е р а ) р а з р е ш е н и я , к о т о р ы е м о ж н о унас-
ледовать.
Что, е с л и н а с л е д у е м о е р а з р е ш е н и е н е с о о т в е т с т в у е т с и т у а ц и и ? Д л я моди-
ф и к а ц и и р а з р е ш е н и й , н а с л е д у е м ы х д о ч е р н и м объектом, м о ж н о в ы п о л н и т ь две
операции. В о – п е р в ы х , вы м о ж е т е о т к л ю ч и т ь н а с л е д о в а н и е , с и я в в диалоговом
окне Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и ( A d v a n c e d Security Settings)
флажок Д о б а в и т ь р а з р е ш е н и я , н а с л е д у е м ы е от р о д и т е л ь с к и х объектов (Include
Inheritable Permissions F r o m T h i s O b j e c t ' s P a r e n t ) . П о с л е этого объект больше
не будет наследовать р а з р е ш е н и я р о д и т е л я . Все р а з р е ш е н и я будут я в н ы м обра-
зом определены д л я д о ч е р н е г о объекта. О б ы ч н о этот способ не рекомендуется,
п о с к о л ь к у в о з н и к а е т и с к л ю ч е н и е и з п р а в и л а , с о з д а в а е м о г о р а з р е ш е н и я м и
родительских к о н т е й н е р о в .
Второй способ – р а з р е ш и т ь н а с л е д о в а н и е и з а м е н и т ь у н а с л е д о в а н н о е раз-
решение я в н о н а з н а ч е н н ы м и р а з р е ш е н и я м и д л я д о ч е р н е г о объекта. Я в н ы е
разрешения всегда з а м е н я ю т н а с л е д у е м ы е от р о д и т е л ь с к и х объектов. Важно
76 Администрирование
Глава 2
отметить, что явное разрешение, позволяющее доступ, переписывает унасле-
дованное разрешение, запрещающее тот же доступ. Таким образом, родитель-
ский объект определяет правило (запрет доступа), по д л я дочернего объекта
создается исключение (разрешение доступа).
СОВЕТ К ЭКЗАМЕНУ
Изучите сценарии, где доступ или делегирование не выполняется корректно из-за
разрыва цепочки наследования, а также явного назначения объекту разрешении,
заменяющих разрешения родителя.
Делегирование административных задач
с помощью мастера управления делегированием
Как видите, управление разрешениями с помощью диалогового о к н а Элемент
разрешения (Permission Entry) представляет собой непростую задачу. Поэтому
вместо интерфейсов безопасности для управления р а з р е ш е н и я м и л у ч ш е при-
менять Мастер делегирования управления (Delegation of C o n t r o l W i z a r d ) .
1. Откройте оснастку Active Directory – пользователи и к о м п ь ю т е р ы (Active'
Directory Users And Computers). ?
2. Щелкните правой кнопкой мыши узел д о м е н а и л и п о д р а з д е л е н и я , для
которого хотите делегировать административные з а д а ч и и л и управление,
и примените команду Делегирование управления ( D e l e g a t e C o n t r o l ) .
В зтом примере мы задействуем подразделение, в которое в х о д я т пользо-
ватели.
Откроется Мастер делегирования управления (Delegation of C o n t r o l Wizard).!
3. Щелкните кнопку Далее (Next).
Вначале выберите административную группу, которой будут предоставлены <
привилегии.
4. На странице Пользователи или группы (Users or G r o u p s ) щ е л к н и т е кнопку {
Добавить (Add). j
5. В диалоговом окне Выбор (Select) выберите группу и щ е л к н и т е О К . •
6. Щелкните кнопку Далее (Next).
Теперь вы укажете конкретную задачу, к о т о р у ю х о т и т е н а з н а ч и т ь этой i
группе.
7. На странице Делегируемые задачи (Tasks То Delegate) в ы б е р и т е задачу.
В этом примере выберите задачу Переустановить п а р о л и п о л ь з о в а т е л е й I
и установить изменение пароля при следующей перезагрузке ( R e s e t User!
Passwords and Force Password Change at Next Logon). ;
8. Щелкните кнопку Далее (Next). •
9. Просмотрите выбранные действия и щелкните к н о п к у Готово (Finish), j
Мастер делегирования управления применит необходимые з а п и с и АСЕ, I
чтобы разрешить выбранной группе выполнять указанную задачу. f
Занятие 3
Делегирование и безопасность объектов Active Directory
7 7
Отчеты и просмотр разрешений
Существует несколько д р у г и х способов создания отчетов и просмотра разреше-
ний, позволяющих к о н т р о л и р о в а т ь действия пользователей. Вы уже знаете, как
просмотреть р а з р е ш е н и я в с п и с к е D A C L в д и а л о г о в ы х окнах Д о п о л н и т е л ь н ы е
параметры б е з о п а с н о с т и ( A d v a n c e d S e c u r i t y Settings) и Э л е м е н т разрешения
(Permission E n t r y ) .
Средство Dsacls.exe т а к ж е д о с т у п н о в виде и н с т р у м е н т а командной стро-
ки, создающего о т ч е т ы об о б ъ е к т а х с л у ж б каталогов. Если ввести эту коман-
ду вместе с о т л и ч и т е л ь н ы м и м е н е м объекта, будет выведен отчет с д а н н ы м и
разрешений объекта. Н а п р и м е р , эта к о м а н д а генерирует отчет о разрешениях
подразделения К а д р ы :
dsacls.ехе "ои=Кадры,dc=contoso,dc=com"
Команду Dsacb т а к ж е м о ж н о и с п о л ь з о в а т ь д л я н а з н а ч е н и я разрешений, то
есть д е л е г и р о в а н и я . Ч т о б ы п о л у ч и т ь с в е д е н и я о синтаксисе и методах исполь-
зования у т и л и т ы Dsacls, в к о м а н д н у ю строку введите команду dsacls.exe /?.
Удаление и сброс разрешений объекта
Как удалить или сбросить д е л е г и р о в а н н ы е р а з р е ш е н и я ? К сожалению, команды
д л я отмены д е л е г и р о в а н и я н е с у щ е с т в у е т . Д л я у д а л е н и я р а з р е ш е н и й следу-
е т и с п о л ь з о в а т ь д и а л о г о в ы е о к н а Д о п о л н и т е л ь н ы е параметры безопасности
(Advanced Security S e t t i n g s ) и Э л е м е н т р а з р е ш е н и я (Permission E n t r y ) . Чтобы
восстановить р а з р е ш е н и я о б ъ е к т о в п о у м о л ч а н и ю , откройте диалоговое окно
д о п о л н и т е л ь н ы х п а р а м е т р о в б е з о п а с н о с т и и щ е л к н и т е кнопку Восстановить
у м о л ч а н и я ( R e s t o r e D e f a u l t s ) . Р а з р е ш е н и я д л я класса объекта п о умолчанию
определяются схемой Active Directory. П о с л е восстановления умолчаний можно
заново о т к о н ф и г у р и р о в а т ь я в н ы е р а з р е ш е н и я , к о т о р ы е требуется добавить в
список DACL. У т и л и т а Dsacls т о ж е о б е с п е ч и в а е т п е р е к л ю ч а т е л ь / s д л я сброса
р а з р е ш е н и й и в о с с т а н о в л е н и я у м о л ч а н и й , о п р е д е л е н н ы х схемой, а с помо-
щью п е р е к л ю ч а т е л я / t м о ж н о в н о с и т ь и з м е н е н и я д л я целого дерева объекта
с о всеми его д о ч е р н и м и о б ъ е к т а м и . Н а п р и м е р , ч т о б ы сбросить разрешения
подразделения К а д р ы и всех его д о ч е р н и х п о д р а з д е л е н и й и объектов, введите
следующую к о м а н д у :
dsacls "ou=People,dc=contoso,dc=com" /resetDefaultDACL
Действующие разрешения
Д е й с т в у ю щ и е р а з р е ш е н и я – э т о р е з у л ь т и р у ю щ и е р а з р е ш е н и я п р и н ц и п а л а
безопасности, н а п р и м е р п о л ь з о в а т е л я и л и г р у п п ы , п о л у ч е н н ы е в итоге при-
менения к а ж д о й у н а с л е д о в а н н о й и я в н о й з а п и с и АСЕ. Н а п р и м е р , ваше раз-
решение сброса п а р о л е й м о ж е т б ы т ь п о л у ч е н о б л а г о д а р я членству в группе,
которой назначено р а з р е ш е н и е С б р о с п а р о л е й ( R e s e t Password) подразделения,
стоящего на н е с к о л ь к о у р о в н е й в ы ш е в и е р а р х и и . Э т о у н а с л е д о в а н н о е разре-
шение, назначенное группе, к к о т о р о й вы п р и н а д л е ж и т е , п о л у ч е н о на основе
действующего р а з р е ш е н и я Allow::Reset Password. О п р е д е л е н и е д е й с т в у ю щ и х
разрешений может б ы т ь з а т р у д н е н о изгза с о ч е т а н и я р а з р е ш е н и й и запретов
78 Администрирование
Глава 2
доступа, явных и унаследованных записей АСЕ и членства во множестве групп,
каждой из которых могут быть назначены разные разрешения.
Разрешения, назначаемые учетной записи пользователя и группе, к которой
принадлежит пользователь, равнозначны. Рекомендуется назначать разрешения
группам, но вы также можете назначать записи АСЕ отдельным п о л ь з о в а т е л я м
н компьютерам. Непосредственное назначение р а з р е ш е н и я п о л ь з о в а т е л ю не
приведет к тому, что это разрешение получит к а к о й – л и б о п р и о р и т е т перед
разрешением, назначенным группе, в которую входит пользователь.
Разрешения, подтверждающие право доступа ( р а з р е ш е н и я allow), – нако-
пительные. Если вы принадлежите к нескольким группам и им р а з р е ш е н о вы-
полнять разные задания, вы сможете выполнять все задания, н а з н а ч е н н ы е всем
этим группам, а также назначенные непосредственно в а ш е й у ч е т н о й записи.
Разрешения, запрещающие доступ ( р а з р е ш е н и я d e n y ) з а м е н я ю т р а в н о -
значные разрешения доступа. Если вы принадлежите к одной группе, к о т о р о й
разрешено сбрасывать пароли, и к другой, которой это з а п р е щ е н о , в а м т а к ж е
будет запрещено сбрасывать пароли.
ПРИМЕЧАНИЕ Запрет доступа
Обычно необходимости в разрешениях deny нет. Если разрешение доступа попросту
не назначить, пользователь не сможет выполнять задание. Прежде чем запретить
доступ, выясните, можно ли достичь той же цели, удалив разрешения allow. Запрет
доступа следует использовать редко и осторожно.
Каждое разрешение можно добавлять и удалять по отдельности. Д а ж е если
вам запрещено сбрасывать пароли, вы, имея другие разрешения доступа, сможе-
те менять, к примеру, имя входа пользователя или адрес э л е к т р о н н о й почты.
И, наконец, как мы уже говорили ранее в этой главе, д о ч е р н и е о б ъ е к т ы по
умолчанию наследуют от родительских объектов р а з р е ш е н и я , к о т о р ы е м о ж н о
унаследовать, но явные разрешения могут заменять наследуемые.
К сожалению, сложное взаимодействие разрешений пользователя, группы,
явных, унаследованных разрешений и запретов доступа может превратить опре-
деление действующих разрешений в очень утомительное занятие. В д и а л о г о в о м
окне Дополнительные параметры безопасности (Advanced S e c u r i t y S e t t i n g s )
объекта Active Directory есть вкладка Д е й с т в у ю щ и е р а з р е ш е н и я ( E f f e c t i v e
Permissions), но она практически бесполезна, п о с к о л ь к у не о т о б р а ж а е т до-
статочно подробную информацию. Оценку действующих р а з р е ш е н и й м о ж н о
начать с вкладки Разрешения (Permissions) диалогового окна Д о п о л н и т е л ь н ы е
параметры безопасности (Advanced Security Settings) и л и с п о м о щ ь ю и н с т р у -
мента Dsacls, но эту оценку придется выполнять вам самому.
К СВЕДЕНИЮ Управление доступом на основе ролей
Наилучший способ управления делегированием в Active Directory – контроль досту-
па на основе ролей. Хотя эта методика не включена в сертификационный экзамен,
ее стоит изучить для применения в реальной среде.
Занятие 3
Делегирование и безопасность объектов Active Directory
79
Проектирование структуры подразделений
для поддержки делегирования
Подразделения представляют собой административные контейнеры. О н и содер-
жат объекты с а н а л о г и ч н ы м и т р е б о в а н и я м и администрирования, конфигурации
и видимости. Мы р а с с м о т р е л и первое требование: администрирование. Объек-
ты, а д м и н и с т р и р о в а н и е к о т о р ы х б у д е т п р о и з в о д и т ь с я аналогично и одними
администраторами, д о л ж н ы с о д е р ж а т ь с я в одном подразделении. Разместив
пользователей в о д н о м п о д р а з д е л е н и и Кадры, вы можете делегировать служ-
бе технической п о д д е р ж к и р а з р е ш е н и я и з м е н я т ь п а р о л и всех пользователей,
назначив одно р а з р е ш е н и е о д н о м у п о д р а з д е л е н и ю . Все остальные разрешения
действия с о б ъ е к т о м п о л ь з о в а т е л я д л я а д м и н и с т р а т о р а м о ж н о назначить в са-
мом п о д р а з д е л е н и и К а д р ы . Н а п р и м е р , в ы м о ж е т е р а з р е ш и т ь отделу кадров
отключать у ч е т н ы е з а п и с и п о л ь з о в а т е л е й при у в о л ь н е н и и служащих. Это раз-
решение о п я т ь – т а к и м о ж н о д е л е г и р о в а т ь п о д р а з д е л е н и ю Кадры.
Помните, что а д м и н и с т р а т о р ы д о л ж н ы в х о д и т ь в свои системы с учетными
д а н н ы м и п о л ь з о в а т е л я и з а п у с к а т ь а д м и н и с т р а т и в н ы е средства при помощи
д о п о л н и т е л ь н о й у ч е т н о й з а п и с и , р а с п о л а г а ю щ е й с о о т в е т с т в у ю щ и м и приви-
л е г и я м и н а в ы п о л н е н и е з а д а н и й а д м и н и с т р и р о в а н и я . Э т и д о п о л н и т е л ь н ы е
учетные з а п и с и я в л я ю т с я у ч е т н ы м и з а п и с я м и а д м и н и с т р а т о р о в н а предпри-
я т и и . Группе т е х н и ч е с к о й п о д д е р ж к и н е с л е д у е т с б р а с ы в а т ь п а р о л и т а к и х
привилегированных у ч е т н ы х записей, а р у к о в о д и т е л и отдела кадров не д о л ж н ы
отключать а д м и н и с т р а т и в н ы е у ч е т н ы е з а п и с и . П о э т о м у м ы создали отдельное
подразделение А д м и н и с т р а т о р ы д л я о б ъ е к т о в а д м и н и с т р а т и в н ы х пользовате-
лей. В этом п о д р а з д е л е н и и д е л е г и р о в а н и е будет в ы п о л н я т ь с я несколько иначе,
чем в п о д р а з д е л е н и и К а д р ы .
А н а л о г и ч н ы м о б р а з о м в ы м о ж е т е д е л е г и р о в а т ь группе т е х н и ч е с к о й под-
д е р ж к и п р а в о д о б а в л я т ь о б ъ е к т ы к о м п ь ю т е р о в в п о д р а з д е л е н и е К л и е н т ы , со-
де ржащее о б ъ е к т ы н а с т о л ь н ы х с и с т е м и ноутбуков. П р а в о с о з д а н и я объектов
компьютеров и у п р а в л е н и я и м и в п о д р а з д е л е н и и С е р в е р ы следует делегировать
только группе а д м и н и с т р а ц и и с е р в е р о в .
О с н о в н а я задача п о д р а з д е л е н и я ( O U ) – э ф ф е к т и в н о е определение области
д е л е г и р о в а н и я д л я п р и м е н е н и я р а з р е ш е н и я к о б ъ е к т а м и д о ч е р н и м подразде-
лениям. П р о е к т и р о в а н и е A c t i v e D i r e c t o r y всегда с л е д у е т н а ч и н а т ь с проекти-
р о в а н и я с т р у к т у р ы п о д р а з д е л е н и й с ц е л ь ю э ф ф е к т и в н о г о д е л е г и р о в а н и я . Эта
с т р у к т у р а д о л ж н а о т р а ж а т ь м о д е л ь у п р а в л е н и я о р г а н и з а ц и и . К а к п р а в и л о ,
все стандартные у ч е т н ы е з а п и с и п о л ь з о в а т е л е й п о д д е р ж и в а ю т с я одинаково с
помощью о д н о й к о м а н д ы . П о э т о м у о б ъ е к т ы п о л ь з о в а т е л е й часто п о м е щ а ю т с я
в одно подразделение. Д о в о л ь н о ч а с т о о р г а н и з а ц и я р е а л и з у е т ц е н т р а л и з о в а н -
ную службу т е х н и ч е с к о й п о д д е р ж к и п о л ь з о в а т е л е й и п о м е щ а е т все объекты
клиентских к о м п ь ю т е р о в в о д н о п о д р а з д е л е н и е . Если же в о р г а н и з а ц и и нет
ц е н т р а л и з о в а н н о й с л у ж б ы т е х н и ч е с к о й п о д д е р ж к и , п о д р а з д е л е н и е К л и е н т ы
может р а з б и в а т ь с я н а д о ч е р н и е п о д р а з д е л е н и я , п р е д с т а в л я ю щ и е г е о г р а ф и -
ческое р а с п о л о ж е н и е , ч т о б ы д е л е г и р о в а т ь л о к а л ь н ы м г р у п п а м технической
поддержки р а з р е ш е н и е д о б а в л я т ь о б ъ е к т ы к о м п ь ю т е р о в в д о м е н .
gO Администрирование
Глава 2
Подразделения следует проектировать в первую очередь д л я э ф ф е к т и в н о г о
делегирования объектов в каталоге. Затем нужно с п о м о щ ь ю групповой поли-
тики определить в проекте конфигурацию компьютеров и пользователей, ка к
описано в главе 6. Проектирование Active Directory – это целое искусство.
Практические занятия. Делегирование задач
администрирования
В предложенных далее упражнениях вы займетесь д е л е г и р о в а н и е м а д м и н и с -
тративных задач в домене contoso.com и просмотрите п о л у ч е н н ы е и з м е н е н и я
в списках ACL объектов Active Directory. Перед в ы п о л н е н и е м у п р а ж н е н и й
этого занятия вы должны выполнить упражнения з а н я т и я 2, п о с к о л ь к у вам
потребуется подразделение, созданное на этом занятии.
Упражнение 1. Делегирование управления и поддержки учетных записей
пользователей
В этом упражнении вы разрешите группе Справка сбрасывать п а р о л и пользо-
вателей и снимать блокировку учетных записей в п о д р а з д е л е н и и К а д р ы .
1. Войдите на машину SERVER01 как администратор и о т к р о й т е о с н а с т к у
Active Directory – пользователи и компьютеры (Active D i r e c t o r y Users and
Computers).
2. Разверните узел домена contoso.com, щелкните правой к н о п к о й м ы ш и под-
разделение Кадры и примените команду Делегирование у п р а в л е н и я (Dele-
gate Control), запуская Мастер делегирования у п р а в л е н и я ( D e l e g a t i o n of
Control Wizard).
3. Щелкните кнопку Далее (Next).
4. На странице Пользователи или группы (Users or G r o u p s ) щ е л к н и т е к н о п к у
Добавить (Add).
5. В диалоговом окне Выбор (Select) введите имя Справка и щ е л к н и т е О К .
6. Щелкните кнопку Далее (Next).
7. На странице Делегируемые задачи (Tasks to D e l e g a t e ) в ы б е р и т е з а д а ч у
Переустановить пароли пользователей и установить и з м е н е н и е п а р о л я п р и
следующей перезагрузке (Reset User Passwords and Force Password C h a n g e
at Next Logon).
8. Щелкните кнопку Далее (Next).
9. Просмотрите выбранные действия и щелкните кнопку Готово ( F i n i s h ) .
Упражнение 2. Просмотр делегированных разрешений
В этом упражнении вы просмотрите разрешения, н а з н а ч е н н ы е д л я подразде-
ления Справка.
1. Войдите иа машину SERVER01 как администратор и о т к р о й т е оснастку
Active Directory – пользователи и компьютеры (Active Directory Users and
Computers).
2. Щелкните правой кнопкой мыши подразделение Кадры и п р и м е н и т е ко-
манду Свойства (Properties).
Занятие 3
Делегирование и безопасность объектов Active Directory
8 1
Вкладка Безопасность ( S e c u r i t y ) не будет отображаться, если не включены
Д о п о л н и т е л ь н ы е к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) .
3. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r t i e s ) .
4. Щ е л к н и т е м е н ю В и д ( V i e w ) и у с т а н о в и т е ф л а ж о к Д о п о л н и т е л ь н ы е пара-
метры к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) .
5. Щелкните п р а в о й к н о п к о й м ы ш и п о д р а з д е л е н и е К а д р ы и п р и м е н и т е ко-
манду С в о й с т в а ( P r o p e r t i e s ) .
6. Перейдите на в к л а д к у б е з о п а с н о с т ь ( S e c u r i t y ) .
7. Щ е л к н и т е к н о п к у Д о п о л н и т е л ь н о ( A d v a n c e d ) .
8. В списке Э л е м е н т ы р а з р е ш е н и й ( P e r m i s s i o n E n t r i e s ) выберите первое раз-
решение, н а з н а ч е н н о е п о д р а з д е л е н и ю С п р а в к а .
9 . Щ е л к н и т е к н о п к у И з м е н и т ь ( E d i t ) .
10. В диалоговом о к н е Э л е м е н т р а з р е ш е н и я (Permission E n t r y ) отыщите назна-
ченное р а з р е ш е н и е , а з а т е м щ е л к н и т е О К, чтобы з а к р ы т ь диалоговое окно.
11. Повторите шаги 8 – 1 0 , ч т о б ы п р о с м о т р е т ь второе разрешение подразделения
Справка.
12. Повторите ш а г и 2 – 1 1 , ч т о б ы п р о с м о т р е т ь с п и с о к ACL пользователя в под-
разделении К а д р ы и п р о а н а л и з и р о в а т ь унаследованные разрешения, назна-
ченные п о д р а з д е л е н и ю С п р а в к а .
13. О т к р о й т е о к н о к о м а н д н о й с т р о к и , в в е д и т е dsacls "ow Кадры,dc^contoso,
dc-com" и н а ж м и т е к л а в и ш у E n t e r .
14. Просмотрите р а з р е ш е н и я , н а з н а ч е н н ы е п о д р а з д е л е н и ю Справка.
Резюме
м Д е л е г и р о в а н и е у п р а в л е н и я в Active D i r e c t o r y п о з в о л я е т о р га н и з а ц и и на-
значать к о н к р е т н ы е а д м и н и с т р а т и в н ы е з а д а ч и с о о т в е т с т в у ю щ и м подраз-
д е л е н и я м и о т д е л ь н ы м л и ц а м .
• Д е л е г и р о в а н и е п р е д с т а в л я е т с о б о й результат п р и м е н е н и я разрешений или
записей АСЕ в с п и с к е D A C L о б ъ е к т о в Active Directory.
• Список D A C L м о ж н о п р о с м о т р е т ь и м о д и ф и ц и р о в а т ь в диалоговом окне
Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и ( A d v a n c e d Security Settings), ко-
торое о т к р ы в а е т с я п р и щ е л ч к е к н о п к и Д о п о л н и т е л ь н о (A dv a nc e d ) в диало-
говом окне С в о й с т в а ( P r o p e r t i e s ) объекта.
• Мастер д е л е г и р о в а н и я у п р а в л е н и я ( D e l e g a t i o n of Control Wizard) упрощает
делегирование з а д а ч г р у п п а м .
• Р а з р е ш е н и я о б ъ е к т а м о ж н о с б р о с и т ь , ч т о б ы в о с с т а н о в и т ь н а с т р о й к и по
умолчанию, в д и а л о г о в о м о к н е Д о п о л н и т е л ь н ы е п а р а м е т р ы безопасности
(Advanced Security S e t t i n g s ) и л и п р и п о м о щ и к о м а н д ы Dsacls с переклю-
чателем /resetDefaultDACL.
ш Д л я делегирования у п р а в л е н и я р е к о м е н д у е т с я использовать подразделения
( O U ) . О б ъ е к т ы в п о д р а з д е л е н и я х н а с л е д у ю т р а з р е ш е н и я р о д и т е л ь с к и х
подразделений.
82
Администрирование
Глава 2
• Наследование для дочернего объекта можно отключить, а можно изменить,
назначив дочернему объекту явное разрешение, з а м е н я ю щ е е унаследован-
ное разрешение.
• Действующие разрешения – это результат п р и м е н е н и я р а з р е ш е н и й поль-
зователя, групп, разрешении и запретов доступа, а т а к ж е у н а с л е д о в а н н ы х и
явных разрешений. Запреты доступа отменяют разрешения доступа, а я в н ы е
разрешения отменяют унаследованные. Поэтому явное р а з р е ш е н и е доступа
отменит унаследованный запрет доступа.
Закрепление материала
Следующий вопрос можно использовать для проверки з н а н и й , п о л у ч е н н ы х на
занятии 3. Этот вопрос есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен
или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Вы хотите разрешить подразделению справки с б р а с ы в а т ь п а р о л и п о л ь з о -
вателей и разблокировать учетные записи п о л ь з о в а т е л е й . К а к о й из инс-
трументов использовать для этого? (Укажите все в а р и а н т ы . )
A. Мастер делегирования управления (Delegation of C o n t r o l W i z a r d ) .
