Aktivni direktorijum nam omogućava da efikasno upravljamo objektima korišćenjem opcije delegiranja Delegating Administrative Control nad objektima. U ovu svrhu koristimo čarobnjaka Delegation of Control Wizard i MMC konzolu za dodeljivanje dozvola određenim korisnicima kako bi mogli da obavljaju razne administrativne zadatke.
Nakon lekcije naučićete da:
Delegiranje kontrole je mogućnost dodeljivanja odgovornosti za upravljanje objektima aktivnog direktorijuma drugom korisniku, grupi ili organizaciji. Delegiranjem kontrole, možemo da eliminišemo potrebu za kreiranjem više administratorskih naloga koji imaju ugrađeni autoritet.
Možemo da delegiramo sledeće tipove kontrole:
Zašto delegiramo administrativnu kontrolu?
Delegirana administracija u aktivnom direktorijumu pomaže uprošćavanje administrativne suštine upravljanja mrežom koristeći mogućnost distribuiranja administrativnih zadataka na grupu korisnika. Sa delegiranom administracijom možemo da dodelimo osnovne administrativne zadatke regularnim korisnicima ili grupama i da dodelimo Domen-wide i Forest-wide administrativne zadatke korisnicima od poverenja Domain Admins i Enterprise Admins grupama.
Delegiranjem kontrole dajemo grupama u našoj organizaciji više kontrole nad njihovim lokalnim resursima. Takođe štitimo mrežu od namernih ili malicioznih šteta tako što smo ograničili članstvo u grupi Administrators.
Načini za definisanje delegiranja administrativne kontrole
Delegiranu administrativnu kontrolu definišemo na sledeća tri načina:
Koristimo Delegation of Control Wizard da odredimo korisnika ili grupu kojoj želimo da delegiramo kontrolu. Možemo takođe da koristimo ovog čarobnjaka da dodelimo dozvole organizacionoj jedinici i objektima za pristup i modifikovanje objekata.
Delegate Permissions: Koristimo Delegation of Control Wizard da dodelimo dozvole na nivou organizacionih jedinica. Moramo ručno da dodeljujemo dodate specijalne dozvole na nivou objekata.
U Active Directory Users and Computers desni klik na organizacione jedinice za koje želite da eliminišete kontrolu i zatim klik na Delegate Control da biste pokernuli čarobnjaka. Takođe možete izabrati organizacionu jedinicu i onda kliknuti na Delegate Control na Action meniju.
Jedna od najvećih prednosti aktivnog direktorijuma je opcija za delegiranje mnogih administrativnih zadataka unutar organizacije. Upravljanje grupnim polisama takođe je jedan od zadataka kojim možemo da delegiramo određenog korisnika ili grupu korisnika za određene administrativne zadatke.
Imamo tri opcije za delegiranje administracije grupnih polisa. Prvo, možemo da delegiramo dozvole za kreiranje, brisanje i modifikovanje objekata grupnih polisa (GPOs). Podrazumevano, samo grupe korisnika Domain Admins, Group Policy Creator Owners i System Account poseduju ovo pravo. Group Policy Creator Owner grupa poseduje dodatnu restrikciju u koja se sastoji u tome da članovi ove grupe imaju dozvolu da modifikuju postavke samo za GPO koje su sami kreirali.
Bilo kom korisniku ili grupi korisnika možemo da dodelimo pravo da kreira i briše GPOs selektovanjem Delegation kartice na Group Policy Object kontejneru i zatim klik na dugme ADD (Slika 1).
Slika 1
Druga opcija za delegiranje administracije grupnih polisa je delegiranje prava za upravljanje linkovima grupnih polisa (Manage Group Policy Links). Ova opcija ne daje dozvolu administratorima da modifikuju svaki objekat grupne polise, ali im daje pravo da dodaju i uklanjaju GPO linkove za kontejner objekat. Najlakši način za dodeljivanje nivoa ovih dozvola je korišćenje Delegation of Control Wizard. U Active Directory Users and Computers konzoli desni klik na kontejner kojim želimo da upravlja određeni korisnik ili grupa korisnika i zatim kliknemo na Delegate Control da bismo pokrenuli Delegating of Control Wizard. Kada startujemo čarobnjaka na nivou organizacione jedinice, jedan od standardnih zadataka koji možemo da delegiramo je dozvola za upravljanje linkovima grupnih polisa (Manage Group Policy Links) (Slika 2).
Slika 2
Treći način za delegiranje administracije grupnih polisa je davanje korisnicima pravo da generišu Set of Policy (RsoP) informacije. Možemo ponovo da koristimo Delegation of Control Wizard za dodeljivanje prava za Generisanje RsoP alatke i u Logging i u Planning Mode-u (Slika 3).
Slika 3
Takođe, možemo da iskoristimo GPMC konzolu da delegiramo pravo za upravljanje GPO linkovima, Group Policy Modeling i Group Policy Results. Delegation kartica koja se nalazi na domenu ili na kontejneru organizacione jedinice nudi mogućnost za dodavanje i uklanjanje korisnika i grupa i primenjivanje specifičnih dozvola.