Планирование делегирования администрирования
Active Directory Windows Server 2003
🕛 20.01.2009, 17:09
Active Directory Windows Server 2003 предоставляет средства, предназначенные для делегирования административных разрешений в вашем домене. Однако вместе с положительными сторонами делегирования разрешений вы получаете риск назначения неправильных разрешений. Пользователям можно предоставить слишком большое количество разрешений, позволяющее им делать в Active Directory то, что им делать не положено. Пользователям можно предоставить слишком малое количество разрешений, не позволяющее делать то, что они должны делать. Создание структуры делегирования, которая обеспечит пользователей точными разрешениями, в которых они нуждаются, требует серьезного планирования. Ниже приведены некоторые советы, помогающие это сделать.* Тщательно документируйте административные требования для всех потенциальных администраторов. В большинстве компаний вы обнаружите, что имеются различные группы, которые нуждаются в некоторых административных разрешениях в домене. Если компания использовала Windows NT, многие из этих пользователей могли быть членами группы Domain Admins. Документируя административные задачи, которые эти пользователи должны выполнять, вы обнаружите, что на самом деле они нуждаются в гораздо более низком уровне доступа. Часто единственный способ документирования уровня административных разрешений, в которых нуждается каждая группа, состоит в документировании всей административной работы, которую они делают каждый день. Документируя действия, которые администраторы должны выполнять, вы смбжете разработать точные разрешения, которые для этого следует иметь. * Перед тем как сделать какие-либо изменения в производственной среде, проверьте все модификации защиты в испытательной среде. Создание неправильной конфигурации защиты может иметь серьезные последствия для вашей сети. Используйте испытательную лабораторию для гарантии того, что модификации разрешений отвечают необходимым требованиям, но не дают разрешений, которые не являются необходимыми. * Используйте Effective Permissions (Фактические разрешения) в окне Advanced Security Settings (Дополнительные параметры настройки защиты) для мониторинга и проверки разрешений, которые имеют пользователи. Окно Effective Permissions является отличным новым инструментом службы Active Directory Windows Server 2003, который может использоваться для определения точных разрешений пользователя или группы. Используйте этот инструмент в испытательной среде для гарантии того, что ваша конфигурация точна, а затем используйте его в производственной среде, чтобы удостовериться, что ваша реализация соответствует плану. * Документируйте все разрешения, которые вы назначаете. Из всех задач, возложенных на сетевых администраторов, документирование изменений, сделанных в сети, относится к самым неприятным, потому что это очень утомительно и кажется не особо важным. В результате документация часто оказывается неполной или устаревшей. Единственный путь эффективного управления конфигурацией защиты вашей сети состоит в том, чтобы документировать начальную конфигурацию, а затем взять обязательство обновлять документацию всякий раз, когда один из первоначальных параметров настройки изменен.
Резюме
Возможность делегирования административных разрешений в Active Directory Windows Server 2003 дает большую гибкость в управлении вашим доменом. Оно основано на модели безопасности Active Directory, в которой все объекты и все атрибуты объектов имеют список ACL, контролирующий разрешения на доступ к объекту для различных участников безопасности. Согласно этой модели по умолчанию все разрешения наследуются от контейнерных объектов к объектам, находящимся в пределах контейнера. Эти особенности модели защиты подразумевают, что вы можете назначить любой уровень разрешений на доступ к любому объекту Active Directory. Такая гибкость может привести к увеличению сложности, если защита Active Directory не поддерживается настолько простой, насколько это возможно. В этой главе был дан краткий обзор разрешений защиты, делегирования административных прав в Active Directory и некоторых из инструментальных средств, которые могут использоваться для этой работы.