Управление Организационными подразделениями, делегирование полномочий
Назначение Организационных подразделений ( ОП, Organizational Units, OU ) — организация иерархической структуры объектов AD внутри домена. Как правило, иерархия ОП в домене отражает организационную структуру компании.
На практике использование ОП (кроме иерархической организации объектов) сводится к двум задачам:
- делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе пользователей;
- применение групповых политик к объектам, входящим в ОП.
Делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе позволяет в больших организациях распределить нагрузку по администрированию учетными записями между различными сотрудниками, не увеличивая при этом количество пользователей, имеющих административные права на уровне всего домена.
Рассмотрим на примере процедуру предоставления какому-либо пользователю административных прав на управление ОП.
- Откроем консоль " Active Directory – пользователи и компьютеры ".
- Создадим в домене подразделение, скажем, с именем OU-1, переместим в это ОП несколько имеющихся в домене учетных записей (или создадим новые).
- Щелкнем правой кнопкой мыши на подразделении OU-1 и выберем пункт меню " Делегирование управления… ". Запустится " Мастер делегирования управления"
- Выберем пользователя (или группу), которому будем делегировать управление данным ОП. Пусть это будет пользователь User1 (рис. 6.45). Нажмем " Далее ".
Рис. 6.45.
- Выберем набор административных задач, которые делегируются данному пользователю (рис. 6.46):
Рис. 6.46.
- По завершении мастера — нажмем кнопку " Готово ".
Если теперь войти в систему на контроллере домена с учетной записью User1 (при условии, что у пользователя User1 есть права локального входа в систему на контроллере домена), запустить консоль " Active Directory – пользователи и компьютеры ", то пользователь User1 сможет выполнять любые операции с объектами организационного подразделения OU-1.
Кроме удобных консолей с графическим интерфейсом система Windows 2003 оснащена мощным набором утилит командной строки для управления объектами Active Directory:
- dsadd — добавляет объекты в каталог;
- dsget — отображает свойства объектов в каталоге;
- dsmod — изменяет указанные атрибуты существующего объекта в каталоге;
- dsquery — находит объекты в каталоге, удовлетворяющие указанным критериям поиска;
- dsmove — перемещает объект из текущего местоположения в новое родительское место;
- dsrm — удаляет объект или все поддерево ниже объекта в каталоге.
Примеры.
- Создание подразделения OU-New в домене world.ru:
dsadd ou "ou=OU-New,dc=world,dc=ru"
- Создание пользователя User-New в подразделении OU-New в домене world.ru:
dsadd user "cn=User-New,ou=OU-New,dc=world,dc=ru"
- Модификация параметра " Номер телефона " у пользователя User-New:
dsmod user "cn=User-New,ou=OU-New,dc=world,dc=ru" –tel 123-45-67
- Получение списка пользователей домена, у которых имя начинается с символа "u":
dsquery user -name u*
Далее рассмотрим применение групповых политик (как для отдельных ОП, так и для других структур Active Directory).
Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, ОП), применение политик и права доступа, наследование и блокировка применения
Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. МеханизмГрупповых политик ( Group Policy ) позволяет автоматизировать данный процесс управления. С помощью групповых политик (ГП ) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.
Каждый объект групповых политик ( GPO, Group Policy Object ) состоит из двух частей: контейнера групповых политик (GPC,Group Policy Container ) хранящегося в БД Active Directory, и шаблона групповых политик ( GPT, Group Policy Template ), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.
Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.
Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.
Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).
Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD (" Active Directory – сайты и службы ", " Active Directory – пользователи и компьютеры ", локальная политика компьютера редактируется консолью gpedit.msc, запускаемой из командной строки). На рис. 6.47 показана закладка " Групповые политики " свойств домена world.ru. На данной закладке можно выполнить следующие действия:
- кнопка " Создать " — создать новый объект ГП;
- кнопка " Добавить " — привязать к данному объекту AD существующий объект ГП;
- кнопка " Изменить " — открыть редактор групповых политик для выбранного объекта ГП;
- кнопка " Параметры " — запретить перекрывание (поле " Не перекрывать ") параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле " Отключить ") данный объект ГП;
- кнопка " Удалить " — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;
- кнопка " Свойства " — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;
- поле " Блокировать наследование политики " — запретить применение политик, привязанных к более высоким уровням иерархии AD;
- кнопки " Вверх " и " Вниз " — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).
Рис. 6.47.
При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:
- локальная политика;
- политики сайта Active Directory;
- политики домена;
- политики организационных подразделений.
Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.
Имеются следующие методы управления применением групповых политик (см. рис. 6.47):
- блокировка наследования политик на каком либо уровне иерархии AD;
- запрет блокировки конкретного объекта групповых политик;
- управление приоритетом применения политик на конкретном уровне AD (кнопками " Вверх " и " Вниз ");
- разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП " Чтение " и " Применение групповой политики ").
Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами " secedit /refreshpolicy machine_policy" и " secedit /refreshpolicy user_policy " (на компьютерах с системой Windows 2000).
На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.
Дата добавления: 2015-10-13; просмотров: 909;