Product SiteDocumentation Site

27.10. Делегирование административных полномочий

Разрешения — это набор правил, которые определяют, насколько объект имеет полномочия просматривать или изменять другие объекты в домене.
Делегирование позволяет предоставить право на выполнение некоторых задач управления доменом обычным пользователям домена, не включая их в привилегированные доменные группы, такие как «Domain Admins», «Account Operators» и т.д. Например, с помощью делегирования можно предоставить определённой группе пользователей право на добавление пользователей в группы, заведение новых пользователей в домене и сброс пароля.
Делегировать полномочия можно на уровне домена или конкретной OU.
Важно:
  • Разрешения наследуются от родительских объектов, если не настроено иное.
  • Изменение разрешений может повлиять на безопасность и функциональность, поэтому рекомендуется тщательно проверять изменения перед их применением.
  • Для управления разрешениями на уровне объектов рекомендуется использовать группы, а не отдельных пользователей, чтобы упростить администрирование.
  • Не следует предоставлять делегировать права на управление OU, в котором содержатся административные аккаунты. Все чувствительные пользователи и группы с повышенными привилегиями нужно размещать в отдельной OU, на которую не распространяется правила делегирования.
  • Запрещающие правила имеют приоритет над разрешающими.

Примечание

Для возможности редактирования разрешений необходимо в меню Настройки отметить пункт Дополнительные возможности.

27.10.1. Управление разрешениями

Просмотр разрешений пользователя или объекта можно выполнить в окне свойств объекта:
  1. В контекстном меню объекта выбрать пункт Свойства:
    ADMC. Свойства группы — Вкладка «Безопасность»
  2. В окне свойств объекта перейти на вкладку Безопасность.
Каждому объекту в сети назначается набор данных об управлении доступом. Этот набор данных определяет, какой тип доступа разрешается пользователям и группам.
В поле Пользователи и группы отображаются группы и пользователи, которым назначены разрешения на доступ к данному объекту. Это поле показывает, кто имеет права на выполнение определенных действий с объектом (например, чтение, запись, изменение и т.д.). В этом поле отображаются встроенные группы безопасности:
  • Domain Admins — администраторы домена, которые имеют полный контроль над объектами в домене;
  • Enterprise Admins — администраторы предприятия, которые имеют полный контроль над всеми доменами в лесу;
  • Administrators — локальные администраторы;
  • Authenticated Users — все аутентифицированные пользователи в домене;
  • SYSTEM — встроенная учетная запись операционной системы, которая имеет полный контроль над объектами;
  • Self — специальная группа, представляющая сам объект (используется для делегирования управления).
Чтобы установить разрешения для группы (или пользователя), которая отсутствует в списке можно воспользоваться кнопкой Добавить…:
ADMC. Выбор группы manager
или Добавить известное доверенное лицо…:
ADMC. Выбор известного доверенного лица
В разделе Разрешения отображается список разрешений, назначенных группам или пользователям, выбранным в поле Пользователи и группы. Все разрешения разбиты на вкладки:
  • Обычные — общие и стандартные разрешения;
  • Расширенные — расширенные права;
  • Создание/Удаление — создание/удаление дочерних объектов;
  • Чтение/Запись — чтение/запись свойств;
  • Делегирование задач — задачи управления доменом.
Разрешения определяют, какие действия могут выполнять пользователи или группы с данным объектом.
Примеры разрешений:
  • Полный доступ — полный доступ к объекту, включая изменение разрешений;
  • Читать — возможность просматривать свойства объекта;
  • Изменять — возможность изменять свойства объекта;
  • Удаление — возможность удалять объект;
  • Создавать дочерние объекты — возможность создавать любые объекты в контейнере;
  • Удалять все дочерние объекты — возможность удалять любые объекты в контейнере;
  • Чтение разрешений — возможность просматривать разрешения объекта;
  • Сменить разрешения — возможность изменять разрешения объекта.
Тип разрешения:
  • Разрешено — разрешает выполнение указанного действия;
  • Запрещено — явно запрещает выполнение указанного действия (имеет приоритет над разрешениями).
Область применения (поле Применять) определяет, к каким объектам применяются разрешения:
  • Этот объект — разрешения применяются только к текущему объекту;
  • Этот объект и все дочерние объекты — разрешения применяются к текущему объекту и всем объектам внутри него;
  • Все дочерние объекты — разрешения применяются только к объектам внутри контейнера;
  • Дочерние объекты: <класс объекта> — разрешения применяются только к объектам определенного типа (например, только к пользователям или только к группам).
ADMC. Область действия разрешений
Разрешения могут быть явно назначены или унаследованы от родительского объекта. Унаследованные разрешения отображаются серым цветом и не могут быть изменены на уровне дочернего объекта. Явно назначенные разрешения имеют приоритет над унаследованными.

Примечание

Снятие/установка бо́льших разрешений снимает/устанавливает все меньшие тоже. Например, снятие разрешения Полный доступ снимает все остальные разрешения.