- •Лабораторная работа 8 Организационные единицы. Управление групповыми политиками
- •1. Теоретические сведения
- •1.1. Определение организационных единиц
- •1.2. Использование организационных единиц для делегирования прав на администрирование
- •1.3. Управление групповыми политиками
- •1.3.1. Оснастка Управление групповой политикой
- •1.4. Создание и редактирование объектов групповой политики
- •1.4.1. Создание объекта групповой политики с комментарием
- •1.4.2. Удаление объекта групповой политики
- •1.4.3. Поиск объектов групповой политики
- •1.5. Структура компонентов групповой политики
- •1.6. Редактирование объекта групповой политики
- •1.7. Связывание объектов gpo
- •1.7.1. Принудительные связи объектов групповых политик
- •1.8. Отключение объектов групповых политик
- •1.9. Отключение связи
- •1.10. Управление разрешениями
- •2. Контрольные вопросы
- •3. Задания
Лабораторная работа 8 Организационные единицы. Управление групповыми политиками
Цель: Получить навыки делегирования административных прав и управления групповыми политиками.
1. Теоретические сведения
1.1. Определение организационных единиц
Организационные единицы (OrganizationalUnit—OU), или подразделения, представляют собой контейнеры административного уровня, которые позволяют хранить информацию каталогов логическим образом и назначать ей вADDSадреса с помощью протоколаLDAP. ВADDSорганизационные единицы являются главным методом для организации информации о пользователях, компьютерах и других объектах в более удобную для понимания структуру (рисунок 1).
Рисунок 1. Просмотр структуры организационных единиц, обеспечивающей графическое представление схемы распределения сетевых ресурсов
Подобное вложение одних организационных единиц в другие позволяет организациям распределять информацию о пользователях среди нескольких контейнеров и тем самым облегчать просмотр и администрирование сетевых ресурсов.
Однако организационные единицы должны создаваться, только если в организации существует потребность делегировать администрирование другому коллективу администраторов. Если одно и то же лицо или группа лиц осуществляет административное управление всем доменом, то нет смысла усложнять среду, добавляя в нее организационные единицы. Слишком большое количество организационных единиц может негативно влиять на групповые политики, входную регистрацию и другие факторы.
Организационные единицы (OU) применяются в основном для разделения административных функций, а группы больше подходят для логической организации функций безопасности. Другими словами,OUсоздаются, когда необходимо предоставить какому-то отделу или физическому сайту определенный уровень административных возможностей для управления собственной средой. А группы создаются для упорядочения пользователей таким образом, чтобы им было легче назначать права безопасности.
1.2. Использование организационных единиц для делегирования прав на администрирование
Одной из главных причин для создания в ADDSструктурыOUслужит потребность в делегировании прав на администрирование отдельному администратору или группе администраторов. ВADDSдопускается обеспечение подобного уровня распределения административных обязанностей в пределах одного домена.
Группе пользователей могут легко предоставляться определенные уровни административных прав на доступ к ряду пользователей.
Процесс делегирования таких прав включает следующие шаги:
В оснастке ActiveDirectoryUsersandComputers(ActiveDirectory— пользователи и компьютеры) щелкните правой кнопкой мыши на организационной единице (OU), где требуется делегировать полномочия, и в контекстном меню выберите пунктDelegateControl(Делегировать права на управление).
В открывшемся экране приветствия мастера делегирования управления (DelegationofControlWizard) щелкните на кнопкеNext(Далее).
Щелкните на кнопке Add (Добавить), чтобы выбрать группу, которой требуется предоставить доступ.
Введите имя группы и щелкните на кнопке ОК.
Щелкните на кнопке Next.
В разделе Delegate the Following Common Tasks (Делегировать права на выполнение следующих общих задач) выберите нужные полномочия (рисунок 2) и для продолжения щелкните на кнопке Next.
Рисунок 2. Выбор общих задач для делегирования
Щелкните на кнопке Finish (Готово), чтобы применить изменения.
Мастер делегирования управления (DelegationofControlWizard) позволяет настраивать административные права с высокой степенью точности. При желании администратор может с его помощью делегировать группе пользователей права на, например, изменение только телефонных номеров или выполнение других аналогичных операций для пользователей в конкретнойOU. Для осуществления подобного и многого другого в мастере допускается создавать и включать для организационных единиц специальные задачи. Подобным образом могут быть реализованы очень многие из требуемых административных прав.
Шаги, необходимые для создания и делегирования специальных прав на администрирование, выглядят следующим образом:
В оснастке Active Directory Users and Computers (Active Directory — пользователи и компьютеры) щелкните правой кнопкой мыши на организационной единице (OU), где требуется делегировать права, и в контекстном меню выберите пункт Delegate Control (Делегировать права на управление).
В открывшемся экране приветствия мастера делегирования управления (Delegation of Control Wizard) щелкните на кнопке Next (Далее).
Щелкните на кнопке Add (Добавить), чтобы выбрать группу, которой требуется предоставить доступ.
Введите имя группы и щелкните на кнопке ОК.
Щелкните на кнопке Next.
Выберите вариант Create a Custom Task to Delegate (Создать специальную задачу для делегирования) и щелкните на кнопке Next.
В разделе Delegate Control Of (Делегировать права на управление) выберите переключатель Only the Following Objects in the Folder (Только следующими объектами в папке).
Отметьте флажок Users Objects (Объекты пользователей) и щелкните на кнопке Next.
В разделе Permissions (Полномочия) отметьте, например, флажок Read and Write Phone and Mail Options (Чтение и запись опций телефона и почты) (рисунок 3), и щелкните на кнопке Next.
Рисунок 3. Выбор полномочий для делегирования
Щелкните на кнопке Finish (Готово), чтобы применить изменения.