Делегирование полномочий по управлению групповыми политиками

Делегирование полномочий по управлению групповыми политиками
Сегодня предлагаем Вам ознакомиться с вариантами делегирования полномочий по управлению групповыми политиками домена в Active Directory.

В Active Directory у всех администраторов имеются определенные полномочия по управлению групповыми политиками. Посредством делегирования вы можете передать другим пользователям право на выполнение следующих задач:

• создание GPO и управление ими;

• просмотр и редактирование параметров, удаление GPO, изменение параметров безопасности;

• управление связями существующих GPO и генерация результирующему политики (Resultant Set of Policy, RSoP).

В Active Directory администраторы могут создавать GPO. У любого пользователя, создавшего GPO, есть право на управлением им. Чтобы задать в GPMC, кто имеет право создавать GPO в домене, выделите узел Объекты групповой политики (Group Policy Objects) в этом домене и перейдите на вкладку Делегирование (Delegation). Здесь перечислены группы и пользователи, которым разрешено создавать GPO в этом домене. Чтобы передать пользователю или группе право создания GPO, щелкните кнопку Добавить (Add). В диалоговом окне Выбор «Пользователь», «Компьютер» или «Группа» (Select User, Computer, Or Group) выберите нужного пользователя или группу и щелкните ОК.

При работе с GPMC у вас есть несколько способов определить, у кого есть право доступа к управлению групповыми политиками. Чтобы задать разрешения в домене, сайте или подразделении, выделите нужный домен, сайт или подразделение и перейдите на вкладку Делегирование (Delegation). В списке Разрешение (Permission) выберите нужное разрешение. Доступны следующие варианты:

• Связанные объекты GPO (Link GPOs) Выводится список пользователей’ и групп, которым разрешается создавать и связывать GPO в выбранном сайте, домене или подразделении.

• Анализ моделирования групповой политики (Perform Group Policy Modeling Analyses) Выводится список пользователей и групп, которым разрешается определять результирующую политику в целях планирования.

• Чтение результирующих данных групповой политики (Read Group Policy Results Data) Выводится список пользователей и групп, которым разрешается в целях проверки и протоколирования определять RSoP, которая применена в данный момент.

Чтобы задать разрешение для домена, сайта или подразделения, выполните следующие действия:

1. В GPMC выделите домен, сайт или подразделение и перейдите на вкладку Делегирование (Delegation) в правой панели.

2. Выберите в списке Разрешение (Permission) разрешение, которое хотите задать.

3. Щелкните Добавить (Add). В диалоговом окне Выбор «Пользователь», «Компьютер» или «Группа» (Select User, Computer, Or Group) выберите нужного пользователя или группу и щелкните ОК.

4. В диалоговом окне Добавление группы или пользователя (Add Group Or User) укажите способ применения разрешения. Чтобы применить разрешение к текущему контейнеру и всем дочерним контейнерам, выберите в списке вариант Для этого контейнера и всех дочерних контейнеров (This Container And All Child Containers). Чтобы применить разрешение только к текущему контейнеру, выберите Только этот контейнер (This Container Only). Щелкните ОК.

Чтобы задать разрешения для отдельного GPO, выделите его в GPMC и перейдите на вкладку Делегирование (Delegation). Там вы сможете задать следующие разрешения для отдельных пользователей и групп:

• Чтение (Read) Пользователю или группе разрешено просматривать GPO и его параметры.

• Изменить настройки (Edit Settings) Пользователю или группе разрешено просматривать GPO и изменять его параметры. Удалять GPO и менять параметры безопасности не разрешается.

• Изменение параметров, удаление и изменение параметров безопасности (Edit Settings, Delete, Modify Security) Пользователю или группе разрешено просматривать GPO и изменять его параметры, а также удалять GPO и Менять параметры безопасности.

Чтобы выдать разрешение на работу с GPO, выполните следующие действия:

1. В GPMC выделите домен, сайт или подразделение и перейдите на вкладку Делегирование (Delegation) в правой панели.

2. Чтобы выдать разрешение на создание GPO пользователю или группе, щелкните Добавить (Add). В диалоговом окне Выбор «Пользователь», «Компьютер» или «Группа» (Select User, Computer, Or Group) выберите нужного пользователя или группу и щелкните ОК.

3. В диалоговом окне Добавление группы или пользователя (Add Group Or User) задайте нужное разрешение и щелкните ОК.

Совет

Если Вы приверженцы Apple, такие же как и я, то Вам обязательно нужно приобрести Mac mini — это понастоящему революцонный ноутбук. Я уже себе приобрёл, отличная игрушка! И Есди у Вас есть возможность Mac mini купить себе — то не откладывайте покупку на долгий строк, обязательно покупайте Mac mini.

 

 

 

 

Оставить комментарий

Лучшие статьи