Когда делегирование кажется бесполезным

Делегирование — это мощная функция Active Directory, которая позволяет администратору предоставлять пользователям и группам разрешения и права, необходимые для выполнения определенных задач. Например, вы можете делегировать младшему администратору возможность сбрасывать пароли для любой учетной записи или просматривать свойства любой учетной записи, но не изменять эти свойства. Это освободит вас, старшего администратора, и вы сможете сосредоточиться на более неотложных делах.

Однако иногда делегирование работает не так, как вы ожидаете. В частности, при определенных обстоятельствах делегирование не «принимается» должным образом, а разрешения, назначенные мастером делегирования управления, впоследствии загадочным образом отменяются.

Это может произойти, когда учетная запись, которой вы пытаетесь делегировать полномочия, является членом одной из защищенных групп, например администраторов домена, операторов сервера, операторов резервного копирования и подобных встроенных групп. Эти группы сами по себе предназначены для облегчения делегирования путем автоматического предоставления определенных прав пользователя любой учетной записи, которая принадлежит им как участнику. Но мастер делегирования управления работает по-другому, и разрешения и права, назначенные учетной записи этим мастером, применяются один раз в час специальным потоком, работающим на эмуляторе PDC, большой кахуне контроллеров домена в вашей сети. Итак, что происходит, так это то, что если вы делегируете какую-то задачу Бобу, а Боб является членом операторов резервного копирования (либо явно, либо через вложение какой-либо другой группы, к которой принадлежит Боб), и если делегирование задачи Бобу назначает разрешения или права, которые конфликтов с неявными разрешениями и правами, предоставленными любому члену операторов резервного копирования, то менее чем через час вы, вероятно, увидите, что делегирование Боба аннулировано, и Боб не может выполнить задачу, которую вы делегировали ему.

Следите за этим. Вы можете избежать этой проблемы, вообще не используя защищенные группы, за исключением групп высокого уровня Enterprise, Schema и Domain Admins. Однако если вы решите использовать группы операторов, убедитесь, что вы тщательно проверили членство в группе (явное и вложенное) пользователя или группы, прежде чем делегировать им задачу с помощью мастера делегирования управления.

Последнее предостережение: этот совет относится к AD в Windows 2000 SP4 или более поздних версиях и Windows Server 2003.

Митч Таллох ( MVP Windows Server ) — известный отраслевой эксперт в области администрирования и безопасности Windows и автор четырнадцати книг, включая « Энциклопедию сетей Microsoft », «Энциклопедию безопасности Microsoft », «Взломы Windows Server» и «Администрирование IIS6 ». Митч живет в Виннипеге, Канада, и является президентом MTIT Enterprises, компании по разработке ИТ-контента. Вы можете найти больше информации о нем на его сайте www.mtit.com