Travailler avec les autorisations de répertoire dans un réseau Windows 2000

Être un administrateur dans un domaine Windows 2000 est plus le même comme étant un administrateur au sein d'un domaine Windows NT. Tout d'abord, le nom de la balise de l'administrateur ne vous accorde le statut de mineur-divinité semblable. Vous avez besoin de ne plus accorder tous vos assistants de gestion de réseau la capacité d'apporter l'ensemble de votre organisation à ses genoux avec une mauvaise touche. Au lieu de cela, vous pouvez créer des unités d'organisation (UO) et déléguer capacités administratives plus de ces unités d'organisation pour sélectionner des utilisateurs sans leur accorder aucun contrôle ou une capacité supplémentaire sur toute autre partie du domaine.

Microsoft a développé ce concept de délégation de pouvoir pour aider à réduire les tâches requises par un seul individu. Voici comment faire: créer des unités des services de la et le département de subvention têtes de privilèges d'administration sur leur OUs- puis placez les chefs de service dans une unité d'organisation sur la base de chefs de section et d'accorder un gestionnaire de la section des privilèges d'administration au cours de cette ou- puis les gestionnaires de section du groupe par les divisions et placer un gestionnaire de division et ainsi de suite. Finalement, vous déléguez le contrôle administratif sur les utilisateurs, groupes, ordinateurs, imprimantes, dossiers partagés, et plus à d'autres, ce qui signifie que vous, en tant qu'administrateur de domaine, besoin de se soucier uniquement des questions vraiment urgentes, telles que l'installation de nouveaux contrôleurs de domaine, création fiducies, ou la reconstruction de l'ensemble du réseau après un incendie.

La beauté est dans les détails

Listes de contrôle d'accès (ACL) étaient présents dans le concept de domaine Windows NT. Dans le cadre de ses propriétés, chaque objet a une liste des utilisateurs et des groupes qui ont des niveaux spécifiques de l'accès accordé ou refusé. Windows 2000 a repris cette idée et allé balistiques avec elle. Maintenant, chaque objet a non seulement une ACL maître pour l'accès aux objets, mais chaque attribut et de la propriété sur un objet possède sa propre ACL distincte. Vous pouvez maintenant contrôler à un niveau extrêmement fine qui peut faire exactement ce dont les objets. Vous pouvez affecter un utilisateur la capacité de changer les numéros de téléphone de tous les utilisateurs dans l'unité d'organisation des ventes mais pas accorder l'utilisateur la capacité de gérer tout autre aspect de ces objets. Vous pouvez vous-même et vos utilisateurs fous avec le niveau de contrôle détaillé Windows 2000 vous offre conduire.

Autorisations de distribuer des

Gestion des autorisations sur des objets Active Directory est semblable à la gestion des autorisations sur des fichiers, des actions et des imprimantes. Au lieu de prendre place au sein de l'Explorateur Windows, Poste de travail ou le dossier Imprimantes, elle a lieu dans le Directory utilisateurs et ordinateurs outil actif. Jusqu'à maintenant, vous avez utilisé cet outil à moitié aveugle. Vous ne saviez probablement même pas que vous aviez une commande pour amplifier essentiellement les capacités de cet outil. Si vous choisissez la vue -> Fonctions avancées commande de la barre de menu, de nombreuses autres récipients, les commandes et propriétés de détails deviennent accessibles.

Sélectionnez un objet de tout récipient et ouvrir ses propriétés de dialogue box-puis sélectionnez l'onglet Sécurité. Vous voyez une interface liste familiers utilisateurs et les groupes attribuer des autorisations à cet objet, une liste des autorisations spécifiques pour ce type d'objet, de colonnes Autoriser et Refuser cases à cocher, un bouton Avancé, et une case à cocher qui concerne l'héritage. Cette fonction d'interface aiment exactement ceux que vous voyez dans la gestion des fichiers. Le niveau de détail offert ici et à travers le bouton Avancé (où vous pouvez définir des autorisations plus détaillées et gérer l'audit et de la propriété) est ahurissant. Si vous êtes un maniaque du contrôle, ce système d'exploitation est l'un pour vous!

Délégation du contrôle d'unités d'organisation

Délégation du contrôle administratif sur UO est trompeusement simple-suffit de suivre ces étapes:

1. Sur un contrôleur de domaine Windows Server 2000, cliquez sur le bouton Démarrer et sélectionnez Programmes -> Outils d'administration, puis l'un des outils Active Directory.

2. Développez les récipients pour localiser le site, domaine ou unité d'organisation que vous souhaitez déléguer et sélectionnez cet objet.

3. Choisissez Action -> Délégation de contrôle.

4. Cliquez sur Suivant dans l'assistant de délégation qui apparaît.

5. Cliquez sur Ajouter.

6. Recherchez et sélectionnez un utilisateur ou groupe d'accorder le contrôle admin pour cet objet et puis cliquez sur Ajouter.

7. Répétez les étapes 5 et 6 pour ajouter d'autres utilisateurs ou groupes.

8. Cliquez sur OK puis sur Suivant.

9. Sélectionnez l'étendue de la délégation soit ce conteneur et tous les objets dans ce conteneur existant aujourd'hui et créé dans le futur ou de la limiter à des types spécifiques d'objets par chèque boîtes- cliquez sur Suivant.

Les éléments de cette liste sont spécifiques au type OU sélectionnés Retour à l'étape 2.

10. Sélectionnez les autorisations que vous souhaitez déléguer le contrôle sur- cliquez sur Suivant.

Vous devez sélectionner les groupes d'autorisation et les permissions spécifiques individuels.

Un résumé de la délégation apparaît.

11. Cliquez sur Terminer.

C'est tout. Maintenant, l'unité d'organisation spécifiée a un nouveau maître. Comme un administrateur local ou de domaine, vous pouvez toujours gérer directement cette unité, mais l'administrer délégué nouvellement défini peut être appelé à accomplir ces tâches redondantes et banales que vous avez détesté pour si longtemps. Avec un peu de planification et d'ingéniosité, vous pouvez avoir vos utilisateurs de faire plus de votre travail!