148

Впрочем, могут потребоваться и специальные разрешения.

Чтобы их настроить, щелкните на вкладке Security кнопку

Advanced (Дополнительно). На вкладке Permissions (Раз-

решения) нужно щелкнуть интересующее разрешение, а затем – кнопку View/ Edit (Показать/Изменить). Просмотреть

разрешения конкретных атрибутов можно на вкладке свойств диалогового окна Permission Entry (Элемент разрешения).

6.5.3.2. Наследование разрешений

Наследование разрешений в Active Directory упрощает настройку доступа к объектам – можно применить разрешения к

дочерним объектам текущего объекта. Для отмены наследования разрешений нужно сбросить флажок Allow Inheritable

Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект) — дочерние объ-

екты не будут наследовать разрешения своего родительского объекта, и объект получит лишь те разрешения, которые явно ему назначили. Предотвратить наследование можно на вкладке Security (Безопасность) диалогового окна свойств объекта.

При запрещении наследования можно:

•скопировать ранее унаследованные разрешения — набор новых явных разрешений объекта будет копией разрешений, которые он ранее наследовал от родительского объекта; потом разрешения можно скорректировать явно;

•удалить унаследованные разрешения — Windows удаляет все унаследованные разрешения, т.е. для объекта вообще не будут определены разрешения; потом для него можно явно указать любые разрешения.

6.5.3.3. Делегирование полномочий по управлению объектами

Можно предоставить полномочия управления объектами другим лицам, чтобы они могли самостоятельно администрировать объекты. Эту задачу можно выполнить по -разному, напри-

мер, с помощью мастера Delegation Of Control (Мастер делеги-

рования управления).

149

Администратор вправе делегировать такие функции:

•назначение разрешений пользователю или группе на создание или изменение объектов в указанном ОП;

•назначение разрешений пользователю или группе на изменение указанных разрешений для атрибутов объектов, например атрибута сброса паролей для объекта User Account.

Для запуска мастера Delegation Of Control (Мастер делегирования управления) откройте оснастку Active Directory Users And Computers, выберите ОП, для которого необходимо делеги-

ровать административные полномочия, и в меню Action (Дей-

ствие) щелкните команду Delegate Control (Делегиро-

вание управления) (рис. 6.5).

Рис. 6.5. Запуск мастера делегирования управления

6.5.4.Рекомендации по администрированию

Active Directory

В крупных организациях заранее согласовывайте структуру Active Directory с другими администраторами. Можно переместить объекты и позже, но это потребует дополнительных усилий.

При создании таких объектов Active Directory, как User, заполняйте все атрибуты, важные для Вашей организации. Чем больше атрибутов определено, тем шире возможности поиска.