Делегирование Полномочий

Паула Шерик, Журнал "Windows 2000 Magazine"

С ростом масштабов организации возрастает и объем задач, которые
приходится решать в процессе управления информационной системой. При
приеме на работу нового сотрудника у технических специалистов прибавляется
хлопот: нужно создать учетную запись, профиль и сценарий регистрации,
выделить на сервере дисковое пространство для хранения данных, обеспечить
доступ пользователя к прикладным программам и данным и, возможно,
организовать удаленный доступ. А по мере того, как подразделения компании,
одно за другим, обзаводятся собственными принтерами, на работников службы
поддержки ежедневно обрушивается все больше заявок с просьбами в решении
всевозможных проблем, связанных с распечаткой документов.
Когда сети разрастаются, нагрузка на специалистов в области информационных
технологий резко увеличивается. Если на предприятии имеется 2000
пользователей, работающих с 500 общедоступными ресурсами, это значит, что
число возможных проблем может достигать миллиона. При таком уровне
сложности информационных систем своевременное и эффективное обслуживание
не в состоянии обеспечить даже большая группа специалистов. Администраторы
корпораций остро ощущают необходимость разделения обязанностей по
выполнению простых повседневных задач с сотрудниками различных
подразделений предприятия. Windows 2000 предоставляет такие возможности.
Чтобы в полной мере реализовать функции делегирования полномочий,
предусмотренные в службе каталогов Active Directory (AD), первым делом
нужно создать организационные единицы (organizational units, OUs) в рамках
предприятия, затем указать задачи, права на решение которых будут переданы
сотрудникам подразделений, а также имена этих сотрудников. И только
завершив подготовительную работу, можно запускать специальную программу –
мастер делегирования полномочий AD (Delegation of Control Wizard). Она
поможет администратору быстро наделить каждую группу пользователей
соответствующими правами.
Формирование организационных единиц

Организационная единица (OU) представляет собой набор объектов AD, таких,
как пользователи, группы, компьютеры, принтеры и совместно используемые
каталоги, которыми требуется управлять как единым целым. Все объекты
организационной единицы должны принадлежать одному домену. OU – это самая
мелкая административная единица (более крупными структурами являются сайты
и домены), полномочия по управлению и обслуживанию которой могут быть
делегированы. В Windows 2000 организационные единицы представляют собой
объекты-контейнеры каталога. Утилита Active Directory Users and Computers
отображает их в виде папок.
Те, кому приходится заниматься разработкой структуры информационной
системы масштаба предприятия на базе Windows 2000, наверняка задумывались
о том, какие именно организационные единицы следует создавать в рамках
компании. Перед тем как приступить к формированию службы AD, необходимо
выделить достаточно времени на формирование структуры OU: чтобы в полной
мере реализовать возможности средств делегирования полномочий Windows 2000
и рационально распределить нагрузку по обслуживанию системы, нужно все
тщательно продумать. Удачной можно считать такую схему OU, которая
способствует оперативному решению задач управления и обслуживания, а также
обеспечивает эффективную поддержку пользователей. Если полномочия по
административному контролю над всеми организационными единицами
предоставлены группам пользователей или отдельным лицам, это означает, что
управление работой локальных или удаленных сотрудников компании полностью
или частично передано в их собственные руки.
Подробное обсуждение вопросов планирования структуры организационных
единиц выходит за рамки данной статьи. Но если говорить коротко, в этом
деле следует придерживаться трех основных критериев: географическое
размещение подразделений компании, их организационная структура или
характер работы и объем полномочий сотрудников (можно, конечно,
ориентироваться и на любое сочетание названных факторов; главное, чтобы
избранный критерий обеспечивал наилучшие возможности управления сетью). В
составе небольшой компании, наверное, будет достаточно выделить одну
организационную единицу; в крупной интернациональной корпорации имеет
смысл создать организационную единицу для каждого региона или для каждого
независимого бизнес-партнера. Организационные единицы формируются с
помощью входящей в комплект Administrative Tools утилиты Active Directory
Users and Computers или соответствующей оснастки консоли Microsoft
Management Console (MMC).
Более подробные сведения о планировании структуры OU содержатся в восьмой
главе руководства «Windows 2000 Deployment Planning Guide», которое
включено в комплект ресурсов Microsoft Windows 2000 Server Resource Kit
(глава называется «Designing the Active Directory Structure»). Кроме того,
руководство по развертыванию службы AD можно найти по адресу:
http://www.microsoft.com/windows2000/library/
resources/reskit/dpg/default.asp (в электронной версии комплекта ресурсов,
которая обновляется быстрее, чем печатная, нужно обратиться к девятой
главе «Active Directory Planning Guide»).
Делегирование полномочий и система безопасности объектов AD

В ОС Windows 2000 реализован избирательный подход к управлению объектами.
Процесс делегирования полномочий по управлению объектом отдельному
сотруднику или группе состоит из двух этапов. Во-первых, администратор
может предоставить (enable) или отозвать (disable) право создавать или
удалять конкретный объект AD. Во-вторых, пользователям может быть
предоставлено право модифицировать любой атрибут объекта или все его
атрибуты (соответственно, пользователи могут быть такого права лишены). В
системе Windows 2000 полномочия пользователей по созданию и удалению
объектов не связаны с правами на модификацию атрибутов объектов, поэтому
отдельному лицу или группе сотрудников можно предоставлять полномочия по
видоизменению объекта, не давая ему или им права на создание объекта либо
его удаление. При предоставлении или отзыве прав на управление объектом
все подчиненные объекты по умолчанию наследуют эти разрешения.
Теперь я расскажу о некоторых вариантах делегирования полномочий по
управлению объектом «учетная запись пользователя». Администратор имеет
возможность делегировать полномочия по созданию и удалению объектов
«пользователь» (иначе говоря, пользовательских учетных записей). В
результате сотрудники удаленного офиса получают право автономно создавать
и удалять учетные записи в рамках своей организационной единицы. Так,
можно делегировать полномочия по созданию и удалению объектов
«пользователь» отделам кадров организационных единиц, представляющих
удаленные офисы компании. Или разрешить кадровикам видоизменять атрибуты
учетных записей (или только один атрибут, скажем пароль пользователя или
его почтовый код). Возможен и еще более сложный вариант делегирования
(практично ли это – вопрос особый): одному сотруднику (или группе)
предоставляется право изменять пароль пользователя, а другому сотруднику
(или группе) – право изменять только контактные телефоны пользователя.
Приведенная схема обеспечения безопасности в равной степени применима ко
всем объектам службы AD, будь то компьютеры, разделяемые каталоги,
принтеры, организационные единицы, сайты или домены.
Задачи, выполнение которых разрешается или запрещается сотрудникам или
группам, хранятся системой Windows 2000 в списке управления доступом к
объекту в виде элементов управления доступом (access control entries,
ACE). Чтобы читатели могли получить некоторое представление о том, на
сколько детально проработана система управления в Windows 2000,
остановлюсь вкратце на разрешениях, предоставляемых объектам
«пользователь» и «группа». С объектом «пользователь» связаны четыре
уникальных типа разрешений: Change Password (изменить пароль), Receive As
(получить как), Reset Password (сбросить прежнее значение пароля) и Send
As (направить как). Объект «группа» может получать лишь одно уникальное
для своей категории разрешение: Send To (переслать). В то же время как
объект «пользователь», так и объект «группа» могут получать следующие
общие для них разрешения: Full Control (полный контроль), List Contents
(содержание списков), Read All Properties (чтение всех свойств), Write All
Properties (запись всех свойств), Delete (удаление), Delete Subtree
(удаление поддерева), Read Permissions (чтение разрешений), Modify
Permissions (изменение разрешений), Modify Owner (смена владельца), All
Validated Rights (все подтвержденные права), All Extended Rights (все
расширенные права), Create All Child Objects (создание любых
объектов-потомков), Delete All Child Objects (удаление любых
объектов-потомков), а также Add/Remove Self As Member (добавление/удаление
себя в качестве члена группы).
В системе Windows 2000 такие разрешения реализованы автономно, поэтому
существует возможность предоставлять другим лицам только одно или
несколько разрешений (в различных сочетаниях) на проведение манипуляций с
объектом. Такая избирательность позволяет администратору безо всякого
риска обеспечить сотрудникам права на выполнение только тех
административных задач, которые им необходимы. При этом уже не требуется
передавать друг другу пароль администратора, так что общее управление
работой сети будет оставаться в руках небольшого количества ответственных
за данный участок сотрудников.
Какие полномочия делегируются?

При определении структуры организационных единиц компании следует
выяснить, выполнение каких задач нужно поручить другим сотрудникам. Тогд