Trabalhando com permissões Directory em uma rede Windows 2000

Ser um administrador dentro de um domínio Windows 2000 já não é o mesmo que ser um administrador dentro de um domínio Windows NT. Em primeiro lugar, o nome da marca de administrador não concede status você minor-divindade-like. Você não precisa mais de conceder todos os seus assistentes de gerenciamento de rede a capacidade de trazer a sua organização inteira de joelhos com um mau keystroke. Em vez disso, você pode criar unidades organizacionais (OUs) e delegar capacidades administrativas sobre essas OUs para selecionar usuários sem conceder-lhes qualquer controle adicional ou capacidade acima de qualquer outra parte do domínio.

Microsoft desenvolveu este conceito de autoridade delegada para ajudar a reduzir as tarefas exigidas por um único indivíduo. Veja como fazer isso: Criar OUs sobre os serviços e do departamento de subvenção dirige privilégios administrativos sobre seu OUs- em seguida, coloque os chefes de departamento em uma UO com base em gerentes de seção e conceder uma seção gerente privilégios administrativos sobre o que OU- seguida, gerentes de seção grupo pelas divisões e colocar um gerente de divisão e assim por diante. Eventualmente, você delegar o controle administrativo sobre os usuários, grupos, computadores, impressoras, pastas compartilhadas, e muito mais para os outros, o que significa que você, como o administrador de domínio, precisa se preocupar apenas com questões realmente urgentes, como a instalação de novos controladores de domínio, criando trusts, ou reconstruindo toda a rede após um incêndio.

A beleza está nos detalhes

Access Control Lists (ACLs) estavam presentes dentro do conceito de domínio do Windows NT. Como parte de suas propriedades, cada objeto tem uma lista de usuários e grupos que têm níveis específicos de acesso concedido ou negado a eles. Windows 2000 tomou esta ideia e ido balístico com ele. Agora, cada objeto não só tem uma ACL mestre para acesso a objetos, mas cada atributo e propriedade em um objeto tem sua própria ACL distinta. Agora você pode controlar em um nível extremamente fina que pode fazer exatamente o que a que objetos. Você pode atribuir um usuário a capacidade de mudar os números de telefone de todos os usuários na UO de Vendas, mas não conceda esse usuário a capacidade de gerenciar qualquer outro aspecto desses objetos. Você poderia dirigir a si mesmo e seus usuários insanos com o nível de controle detalhado que o Windows 2000 oferece-lhe.

Distribuindo permissões

Gerenciando permissões em objetos do Active Directory é semelhante ao gerenciamento de permissões em arquivos, compartilhamentos e impressoras. Em vez de ter lugar dentro do Windows Explorer, meu computador ou a pasta Impressoras, ela ocorre dentro da ferramenta computadores e utilizadores do Active Directory. Até agora, você está usando esta ferramenta meio cego. Você provavelmente nem sabia que você tinha um comando para amplificar essencialmente as capacidades desta ferramenta. Se você escolher a View -> comando a partir da barra de menu, muitos outros recipientes de recursos avançados, comandos e Propriedades detalhes tornam-se acessíveis.

Selecione qualquer objeto de qualquer embalagem e abra suas propriedades diálogo caixa- em seguida, selecione o seu guia Segurança. Você vê uma interface de listagem de familiares de usuários e grupos de permissões para este objeto, uma lista de permissões específicas para este tipo de objeto, colunas de Permitir e Negar caixas de seleção, um botão Avançado, e uma caixa de seleção sobre herança. Isso funciona como interface exatamente as que você vê na gestão de arquivos. A quantidade de detalhes oferecidos aqui e através do botão Avançado (onde você pode definir as permissões mais detalhadas e gerenciar auditoria e propriedade) é incompreensível. Se você é um maníaco por controle, este sistema operacional é o único para você!

Delegar controle sobre UOs

Delegando o controle administrativo sobre OUs é enganosamente simples-basta seguir estes passos:

1. Em um controlador de domínio Windows 2000 Server, clique no botão Iniciar e selecione Programas -> Ferramentas Administrativas e, em seguida, nenhuma das ferramentas do Active Directory.

2. Expanda os recipientes para localizar o site, domínio ou UO que você deseja delegar e selecione esse objeto.

3. Escolha Ação -> Delegar controle.

4. Clique em Avançar no assistente de delegação que aparece.

5. Clique em Adicionar.

6. Localize e selecione um usuário ou grupo para conceder controle administrativo para este objeto e, em seguida, clique em Adicionar.

7. Repita as etapas 5 e 6 para adicionar outros usuários ou grupos.

8. Clique em OK e depois em Avançar.

9. Selecione o escopo da delegação, quer este contêiner e todos os objetos dentro deste recipiente actualmente existente e criado no futuro, ou limitá-lo a tipos específicos objetos por meio de cheque boxes- clique em Avançar.

Os itens nesta lista são específicos para o tipo OU selecionou no Passo 2.

10. Selecione as permissões que você deseja delegar o controle sobressaída clique em Avançar.

Você precisa selecionar os grupos de permissão e as permissões específicas individuais.

Um resumo da delegação aparece.

11. Clique em Concluir.

É isso aí. Agora, a UO especificada tem um novo mestre. Como um administrador local ou de domínio, você ainda pode gerenciar diretamente que OU, mas a administrar delegada recém-definido pode ser chamado a desempenhar essas tarefas redundantes e mundanas que você odiava por tanto tempo. Com um pouco de planejamento e criatividade, você pode ter seus usuários a fazer a maior parte de seu trabalho!

menu