Делегирование прав на администрирование

Одной из главных причин для создания в AD DS структуры OU служит потребность в делегировании прав на администрирование отдельному админи­стратору или группе администраторов. В AD DS допускается обеспечение подобного уров­ня распределения административных обязанностей в пределах одного домена. Поэтому в настоящем разделе речь пойдет именно об этом.

Группе пользователей могут легко предоставляться определенные уровни администра­тивных прав на доступ к ряду пользователей. Например, удаленной IT-группе могут быть предоставлены стандартные полномочия на создание, удаление и изменение паролей поль­зователей, относящихся к их собственной организационной единице. Процесс делегиро­вания таких прав довольно прост. Ниже перечислены соответствующие шаги.

1. В оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры) щелкните правой кнопкой мыши на организационной единице (OU), где требуется делегировать полномочия, и в контекстном меню выберите пункт Delegate Control (Делегировать права на управление).
2. В открывшемся экране приветствия мастера делегирования управления (Delegation of Control Wizard) щелкните на кнопке Next (Далее).
3. Щелкните на кнопке Add (Добавить), чтобы выбрать группу, которой требуется пре­доставить доступ.
4. Введите имя группы и щелкните на кнопке ОК.
5. Щелкните на кнопке Next.
6. В разделе Delegate the Following Common Tasks (Делегировать права на выполнение следующих общих задач) выберите нужные полномочия подобно тому, как показано в примере на рис. 6.6, и для продолжения щелкните на кнопке Next.
7. Для примера отметьте флажок Create, Delete, and Manage User Accounts (Создание, удаление и управление учетными записями пользователей) и щелкните на кнопке Next.
8. Щелкните на кнопке Finish (Готово), чтобы применить изменения.