Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Управление Организационными подразделениями, делегирование полномочий






Назначение Организационных подразделений (ОП, Organizational Units, OU) — организация иерархической структуры объектов AD внутри домена. Как правило, иерархия ОП в домене отражает организационную структуру компании.

На практике использование ОП (кроме иерархической организации объектов) сводится к двум задачам:

  • делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе пользователей;
  • применение групповых политик к объектам, входящим в ОП.

Делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе позволяет в больших организациях распределить нагрузку по администрированию учетными записями между различными сотрудниками, не увеличивая при этом количество пользователей, имеющих административные права на уровне всего домена.

Рассмотрим на примере процедуру предоставления какому-либо пользователю административных прав на управление ОП.

  1. Откроем консоль " Active Directory – пользователи и компьютеры ".
  2. Создадим в домене подразделение, скажем, с именем OU-1, переместим в это ОП несколько имеющихся в домене учетных записей (или создадим новые).
  3. Щелкнем правой кнопкой мыши на подразделении OU-1 и выберем пункт меню " Делегирование управления… ". Запустится " Мастер делегирования управления "
  4. Выберем пользователя (или группу), которому будем делегировать управление данным ОП. Пусть это будет пользователь User1 (рис. 6.45). Нажмем " Далее ".


Рис. 6.45.

  1. Выберем набор административных задач, которые делегируются данному пользователю (рис. 6.46):


Рис. 6.46.

  1. По завершении мастера — нажмем кнопку " Готово ".

Если теперь войти в систему на контроллере домена с учетной записью User1 (при условии, что у пользователя User1 есть права локального входа в систему на контроллере домена), запустить консоль " Active Directory – пользователи и компьютеры ", то пользователь User1 сможет выполнять любые операции с объектами организационного подразделения OU-1.

Кроме удобных консолей с графическим интерфейсом система Windows 2003 оснащена мощным набором утилит командной строки для управления объектами Active Directory:

  • dsadd — добавляет объекты в каталог;
  • dsget — отображает свойства объектов в каталоге;
  • dsmod — изменяет указанные атрибуты существующего объекта в каталоге;
  • dsquery — находит объекты в каталоге, удовлетворяющие указанным критериям поиска;
  • dsmove — перемещает объект из текущего местоположения в новое родительское место;
  • dsrm — удаляет объект или все поддерево ниже объекта в каталоге.

Примеры.

  1. Создание подразделения OU-New в домене world.ru:

dsadd ou " ou=OU-New, dc=world, dc=ru"

  1. Создание пользователя User-New в подразделении OU-New в домене world.ru:

dsadd user " cn=User-New, ou=OU-New, dc=world, dc=ru"

  1. Модификация параметра " Номер телефона " у пользователя User-New:

dsmod user " cn=User-New, ou=OU-New, dc=world, dc=ru" –tel 123-45-67

  1. Получение списка пользователей домена, у которых имя начинается с символа " u":

dsquery user -name u*

Далее рассмотрим применение групповых политик (как для отдельных ОП, так и для других структур Active Directory).

Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, ОП), применение политик и права доступа, наследование и блокировка применения

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик (Group Policy) позволяет автоматизировать данный процесс управления. С помощью групповых политик (ГП) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container) хранящегося в БД Active Directory, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\< имя домена> \Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.

Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD (" Active Directory – сайты и службы ", " Active Directory – пользователи и компьютеры ", локальная политика компьютера редактируется консолью gpedit.msc, запускаемой из командной строки). На рис. 6.47 показана закладка " Групповые политики " свойств домена world.ru. На данной закладке можно выполнить следующие действия:

  • кнопка " Создать " — создать новый объект ГП;
  • кнопка " Добавить " — привязать к данному объекту AD существующий объект ГП;
  • кнопка " Изменить " — открыть редактор групповых политик для выбранного объекта ГП;
  • кнопка " Параметры " — запретить перекрывание (поле " Не перекрывать ") параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле " Отключить ") данный объект ГП;
  • кнопка " Удалить " — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;
  • кнопка " Свойства " — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;
  • поле " Блокировать наследование политики " — запретить применение политик, привязанных к более высоким уровням иерархии AD;
  • кнопки " Вверх " и " Вниз " — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).


Рис. 6.47.

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

  • локальная политика;
  • политики сайта Active Directory;
  • политики домена;
  • политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Имеются следующие методы управления применением групповых политик (см. рис. 6.47):

  • блокировка наследования политик на каком либо уровне иерархии AD;
  • запрет блокировки конкретного объекта групповых политик;
  • управление приоритетом применения политик на конкретном уровне AD (кнопками " Вверх " и " Вниз ");
  • разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП " Чтение " и " Применение групповой политики ").

Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами " secedit /refreshpolicy machine_policy" и " secedit /refreshpolicy user_policy " (на компьютерах с системой Windows 2000).

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.006 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал