Сегодня предлагаем Вам ознакомиться с вариантами делегирования полномочий по управлению групповыми политиками домена в Active Directory.
В Active Directory у всех администраторов имеются определенные полномочия по управлению групповыми политиками. Посредством делегирования вы можете передать другим пользователям право на выполнение следующих задач:
• создание GPO и управление ими;
• просмотр и редактирование параметров, удаление GPO, изменение параметров безопасности;
• управление связями существующих GPO и генерация результирующему политики (Resultant Set of Policy, RSoP).
В Active Directory администраторы могут создавать GPO. У любого пользователя, создавшего GPO, есть право на управлением им. Чтобы задать в GPMC, кто имеет право создавать GPO в домене, выделите узел Объекты групповой политики (Group Policy Objects) в этом домене и перейдите на вкладку Делегирование (Delegation). Здесь перечислены группы и пользователи, которым разрешено создавать GPO в этом домене. Чтобы передать пользователю или группе право создания GPO, щелкните кнопку Добавить (Add). В диалоговом окне Выбор «Пользователь», «Компьютер» или «Группа» (Select User, Computer, Or Group) выберите нужного пользователя или группу и щелкните ОК.
При работе с GPMC у вас есть несколько способов определить, у кого есть право доступа к управлению групповыми политиками. Чтобы задать разрешения в домене, сайте или подразделении, выделите нужный домен, сайт или подразделение и перейдите на вкладку Делегирование (Delegation). В списке Разрешение (Permission) выберите нужное разрешение. Доступны следующие варианты:
• Связанные объекты GPO (Link GPOs) Выводится список пользователей’ и групп, которым разрешается создавать и связывать GPO в выбранном сайте, домене или подразделении.
• Анализ моделирования групповой политики (Perform Group Policy Modeling Analyses) Выводится список пользователей и групп, которым разрешается определять результирующую политику в целях планирования.
• Чтение результирующих данных групповой политики (Read Group Policy Results Data) Выводится список пользователей и групп, которым разрешается в целях проверки и протоколирования определять RSoP, которая применена в данный момент.
Чтобы задать разрешение для домена, сайта или подразделения, выполните следующие действия:
1. В GPMC выделите домен, сайт или подразделение и перейдите на вкладку Делегирование (Delegation) в правой панели.
2. Выберите в списке Разрешение (Permission) разрешение, которое хотите задать.
3. Щелкните Добавить (Add). В диалоговом окне Выбор «Пользователь», «Компьютер» или «Группа» (Select User, Computer, Or Group) выберите нужного пользователя или группу и щелкните ОК.
4. В диалоговом окне Добавление группы или пользователя (Add Group Or User) укажите способ применения разрешения. Чтобы применить разрешение к текущему контейнеру и всем дочерним контейнерам, выберите в списке вариант Для этого контейнера и всех дочерних контейнеров (This Container And All Child Containers). Чтобы применить разрешение только к текущему контейнеру, выберите Только этот контейнер (This Container Only). Щелкните ОК.
Чтобы задать разрешения для отдельного GPO, выделите его в GPMC и перейдите на вкладку Делегирование (Delegation). Там вы сможете задать следующие разрешения для отдельных пользователей и групп:
• Чтение (Read) Пользователю или группе разрешено просматривать GPO и его параметры.
• Изменить настройки (Edit Settings) Пользователю или группе разрешено просматривать GPO и изменять его параметры. Удалять GPO и менять параметры безопасности не разрешается.
• Изменение параметров, удаление и изменение параметров безопасности (Edit Settings, Delete, Modify Security) Пользователю или группе разрешено просматривать GPO и изменять его параметры, а также удалять GPO и Менять параметры безопасности.
Чтобы выдать разрешение на работу с GPO, выполните следующие действия:
1. В GPMC выделите домен, сайт или подразделение и перейдите на вкладку Делегирование (Delegation) в правой панели.
2. Чтобы выдать разрешение на создание GPO пользователю или группе, щелкните Добавить (Add). В диалоговом окне Выбор «Пользователь», «Компьютер» или «Группа» (Select User, Computer, Or Group) выберите нужного пользователя или группу и щелкните ОК.
3. В диалоговом окне Добавление группы или пользователя (Add Group Or User) задайте нужное разрешение и щелкните ОК.
Совет
Если Вы приверженцы Apple, такие же как и я, то Вам обязательно нужно приобрести Mac mini — это понастоящему революцонный ноутбук. Я уже себе приобрёл, отличная игрушка! И Есди у Вас есть возможность Mac mini купить себе — то не откладывайте покупку на долгий строк, обязательно покупайте Mac mini.