6.5. Администрирование Active Directory

144

министрирования. Вы можете легко изменять структуру ОП или перемещать объекты между ОП.

ОП создаются в следующих случаях:

•чтобы предоставить административные полномочия другим пользователям или администраторам;

•для группирования объектов, над которыми выполняются сходные административные операции; это облегчает поиск сходных сетевых ресурсов и их обслуживание — так, можно объединить в одном ОП все объекты User для временных служащих;

•для ограничения видимости сетевых ресурсов в хранилище Active Directory пользователи увидят только те объекты, к которым имеют доступ; разрешения для ОП можно легко изменить, ограничив доступ к конфиденциальной информации.

6.5.1.2. Добавление объектов в ОП

Для добавления объектов в ОП Вы должны обладать в нем соответствующими полномочиями. По умолчанию такие права предоставлены группе Administrators. Разновидности создаваемых объектов зависят от правил схемы, используемого мастера или оснастки. Некоторые атрибуты объекта можно определить только после его создания.

6.5.2. Управление объектами Active Directory

Управление объектами Active Directory включает поиск объектов, их изменение, уничтожение или перемещение. В двух последних случаях надо иметь соответствующие разрешения для объекта или для ОП, куда Вы перемещаете объект. По умолчанию данными полномочиями обладают все члены группы Administrators.

6.5.2.1. Поиск объектов

Глобальный каталог (ГК) содержит частичную реплику всего каталога и хранит информацию обо всех объектах в дереве доменов или лесе. Поэтому пользователь может найти объект независимо от его расположения в домене или лесе. Содержание ГК автоматически генерируется по сведениям из доменов, составляющих каталог.

145

Для поиска объектов откройте оснастку Active Directory Users And Computers, ярлык которой находится в группе программ Administrative Tools. В дереве консоли щелкните правой

кнопкой мыши домен или ОП и выберите в контекстном меню команду Find (Найти). Откроется диалоговое окно Find

(Поиск) (рис. 6.4).

Рис. 6.4. Диалоговое окно Find (Поиск)

Если Вы раскроете контекстное меню объекта Shared folder (Общая папка) и выберете команду Find

(Найти), будет запущена функция поиска Windows Explorer, и Вы сможете искать в общей папке файлы и подпапки.

Диалоговое окно Find включает параметры поиска в ГК, позволяющие находить учетные записи, группы и принтеры.

6.5.2.2.Изменение значений атрибутов

иудаление объектов

Чтобы изменить значения атрибута, откройте оснастку Ac-

tive Directory Users And Computers и выберите экземпляр объек-

та. В меню Action (Действие) выберите команду Properties (Свойства). В диалоговом окне свойств объ-

146

екта измените нужные атрибуты объекта. Затем внесите поправки в описание объекта, например, модифицируйте объект User, чтобы изменить имя, местоположение и электронный адрес пользователя. Если объекты больше не нужны, удалите их в целях безопасности: открыв оснастку Active Directory Users And

Computers, выделите экземпляр удаляемого объекта, а затем в меню Action (Действие) выберите команду Delete

(Удалить).

6.5.2.3. Перемещение объектов

В хранилище Active Directory можно перемещать объекты, например между ОП, чтобы отразить изменения в структуре предприятия при переводе сотрудника из одного отдела в дру-

гой. Для этого, открыв оснастку Active Directory Users And Com-

puters, выделите перемещаемый объект, в меню Action (Действие) выберите команду Move (Переместить) и

укажите новое местоположение объекта.

6.5.3. Управление доступом к объектам Active Directory

Для контроля доступа к объектам Active Directory применяется объектно-ориентированная модель защиты, подобная модели защиты NTFS.

Каждый объект Active Directory имеет дескриптор безопасности, определяющий, кто имеет право доступа к объекту и тип этого доступа. Windows Server использует дескрипторы безопасности для управления доступом к объектам.

Для упрощения администрирования можно сгруппировать объекты с одинаковыми требованиями безопасности в ОП и назначить разрешения доступа для всего ОП и всех объектов в нем.

6.5.3.1. Управление разрешениями Active Directory

Разрешения Active Directory обеспечивают защиту ресурсов, позволяя управлять доступом к экземплярам объектов или атрибутам объектов и определять вид предоставляемого доступа.

147

Защита Active Directory

Администратор или владелец объекта должен назначить объекту разрешения доступа еще до того, как пользователи смогут получать доступ к этому объекту. Windows Server хранит список управления доступом (access control list, ACL) для каждо-

го объекта Active Directory.

ACL объекта включает перечень пользователей, которым разрешен доступ к объекту, а также набор допустимых над объектом действий.

Можно задействовать разрешения для назначения административных полномочий конкретному пользователю или группе в отношении ОП, иерархии ОП или отдельного объекта без назначения административных разрешений на управление дру-

гими объектами Active Directory.

Разрешения доступа к объекту

Зависят от типа объекта — например, разрешение Reset Password допустимо для объектов User, но не для объектов

Computer.

Пользователь может быть членом нескольких групп с разными разрешениями для каждой из них, обеспечивающих разные уровни доступа к объектам. При назначении разрешения на доступ к объекту члену группы, наделенной иными разрешениями, эффективные права пользователя будут складываться из его разрешений и разрешений группы.

Можно предоставлять или аннулировать разрешения. Аннулированные разрешения для пользователей и групп приоритетнее любых выданных разрешений.

Если пользователю запрещено обращаться к объекту, то он не получит доступ к нему даже как член полномочной группы.

Назначение разрешений Active Directory

Настроить разрешения объектов и их атрибутов позволяет оснастка Active Directory Users And Computers. Назначить раз-

решения также можно на вкладке Security (Безопасность) диалогового окна свойств объекта.

Для выполнения большинства задач администрирования достаточно стандартных разрешений.