Делегирование прав на администрирование
Одной из главных причин для создания в AD DS структуры OU служит потребность в делегировании прав на администрирование отдельному администратору или группе администраторов. В AD DS допускается обеспечение подобного уровня распределения административных обязанностей в пределах одного домена. Поэтому в настоящем разделе речь пойдет именно об этом.
Группе пользователей могут легко предоставляться определенные уровни административных прав на доступ к ряду пользователей. Например, удаленной IT-группе могут быть предоставлены стандартные полномочия на создание, удаление и изменение паролей пользователей, относящихся к их собственной организационной единице. Процесс делегирования таких прав довольно прост. Ниже перечислены соответствующие шаги.
- В оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры) щелкните правой кнопкой мыши на организационной единице (OU), где требуется делегировать полномочия, и в контекстном меню выберите пункт Delegate Control (Делегировать права на управление).
- В открывшемся экране приветствия мастера делегирования управления (Delegation of Control Wizard) щелкните на кнопке Next (Далее).
- Щелкните на кнопке Add (Добавить), чтобы выбрать группу, которой требуется предоставить доступ.
- Введите имя группы и щелкните на кнопке ОК.
- Щелкните на кнопке Next.
- В разделе Delegate the Following Common Tasks (Делегировать права на выполнение следующих общих задач) выберите нужные полномочия подобно тому, как показано в примере на рис. 6.6, и для продолжения щелкните на кнопке Next.
- Для примера отметьте флажок Create, Delete, and Manage User Accounts (Создание, удаление и управление учетными записями пользователей) и щелкните на кнопке Next.
- Щелкните на кнопке Finish (Готово), чтобы применить изменения.