Arbeiten mit Verzeichnisberechtigungen in einem Windows 2000-Netzwerk
ein Administrator innerhalb eines 2000-Domäne von Windows zu sein, ist nicht mehr das gleiche wie ein Administrator innerhalb einer Windows NT-Domäne zu sein. In erster Linie nicht der Administrator Tag-Namen länger gewährt Ihnen Moll-Gottheit ähnlichen Status. Sie müssen nicht mehr alle Assistenten Ihre Netzwerk-Management die Möglichkeit zu gewähren, die gesamte Organisation in die Knie mit einem schlechten Tastendruck zu bringen. Stattdessen können Sie Organisationseinheiten (OUs) erstellen und Verwaltungsfunktionen über diese Organisationseinheiten delegieren Benutzer auswählen, ohne dass sie eine zusätzliche Kontrolle oder Fähigkeit gegenüber jedem anderen Teil der Domäne zu gewähren.
Microsoft entwickelt, um dieses Konzept der beauftragten Behörde die Aufgaben von einer einzigen Person erforderlich zu reduzieren. Hier ist, wie Sie es tun: Erstellen Sie OUs über Abteilungen und Zuschussabteilungsleiter Administratorrechte über ihre OUs- dann die Abteilungsleiter in einer OU legen auf Basis von Abteilungsleitern und gewähren einen Abschnitt Manager Administratorrechte über diesen OU dann Gruppe Abteilungsleiter der Sparten und legen Sie ein Abteilungsleiter und so weiter. Schließlich delegieren Sie die administrative Kontrolle über Benutzer, Gruppen, Computer, Drucker, freigegebene Ordner und mehr auf andere, was bedeutet, dass Sie als Domain-Administrator, nur mit wirklich drängenden Fragen zu kümmern müssen, wie neue Domänencontroller installieren, zu schaffen Trusts, oder das gesamte Netzwerk nach einem Brand wieder aufzubauen.
Schönheit liegt im Detail
Access Control Lists (ACLs) waren anwesend in der Windows NT-Domäne-Konzept. Im Rahmen seiner Eigenschaften hat jedes Objekt eine Liste von Benutzern und Gruppen, die bestimmte Zugriffsebenen gewährt oder verweigert, sie zu haben. Windows 2000 hat diese Idee genommen und ballistische mit ihm gegangen. Nun hat jedes Objekt nicht nur einen Master-ACL für den Objektzugriff, aber jedes Attribut und Eigenschaft auf ein Objekt hat seine eigene ACL. Sie können jetzt auf einem extrem feinen Ebene kontrollieren, wer genau das tun kann, was die Objekte. Sie könnten ein Benutzer die Fähigkeit zu ändern Telefonnummern auf alle Benutzer in der OU Sales zuweisen, aber nicht, dass Benutzer erteilen die Fähigkeit, andere Aspekt dieser Objekte zu verwalten. Sie könnten sich selbst und Ihre Benutzer verrückt mit dem Niveau der detaillierten Kontrolle fahren, die Windows 2000 Ihnen bietet.
Austeilen der Berechtigungen
Verwalten von Berechtigungen für Active Directory-Objekte ähnelt der Verwaltung von Berechtigungen für Dateien, Freigaben und Drucker. Stattdessen Ort der Aufnahme in Windows Explorer, Arbeitsplatz oder den Ordner Drucker erfolgt sie innerhalb der Active Directory-Benutzer und-Computer. Bisher haben Sie dieses Tool halbblind im Einsatz. Sie haben wahrscheinlich nicht einmal wissen, dass Sie einen Befehl hatte, um im wesentlichen die Fähigkeiten dieses Werkzeugs zu verstärken. Wenn Sie die Ansicht -> Eigenschaften Erweiterte Befehl aus der Menüleiste, viele andere Behälter, Befehle und Eigenschaften Details zugänglich werden.
Wählen Sie ein beliebiges Objekt aus einem Container und öffnen Sie dessen Eigenschaften-Dialog Box- dann seine Registerkarte Sicherheit auswählen. Sie sehen eine vertraute Schnittstelle Auflistung von Benutzern und Gruppen zugewiesenen Berechtigungen zu diesem Objekt, eine Liste der Berechtigungen speziell für diesen Objekttyp, Spalten mit Kontrollkästchen Zulassen und Verweigern, eine Schaltfläche Erweitert, und ein Kontrollkästchen in Bezug auf Vererbung. Diese Schnittstellenfunktionen wie genau diejenigen, die Sie bei der Verwaltung von Dateien. Die Menge an Details hier und durch die Schaltfläche Erweitert angeboten (wo Sie detaillierte Berechtigungen festlegen und verwalten können Auditierung und Eigentum) ist umwerfend. Wenn Sie ein Kontrollfreak, dieses Betriebssystem sind, ist das für Sie!
Delegieren Kontrolle über OUs
Delegieren administrative Kontrolle über OUs ist trügerisch einfach-einfach die folgenden Schritte:
1. Auf einem Windows 2000 Server-Domänencontroller, klicken Sie auf die Schaltfläche Start und wählen Sie Programme -> Verwaltung und dann eine der Active Directory-Tools.
2. Erweitern Sie die Behälter den Standort, die Domäne zu finden, oder OU, die Sie delegieren möchten und das Objekt auswählen.
3. Wählen Sie Aktion -> Kontrolle delegieren.
4. Klicken Sie auf Weiter auf dem Assistenten für die Zuweisung, die angezeigt wird.
5. Klicken Sie auf Hinzufügen.
6. Suchen und wählen Sie einen Benutzer oder eine Gruppe Admin Control auf dieses Objekt zu gewähren, und klicken Sie dann auf Hinzufügen.
7. Wiederholen Sie die Schritte 5 und 6 andere Benutzer oder Gruppen hinzuzufügen.
8. Klicken Sie auf OK und dann auf Weiter.
den Umfang der Delegation 9. Wählen Sie entweder dieser Container und alle Objekte in diesem Container ab und erstellt in der Zukunft entwickelt werden oder es auf bestimmte Typen beschränken Objekte per Scheck Weiter boxes- klicken.
Die Einträge in dieser Liste sind spezifisch für die OU-Typ in Schritt 2 ausgewählt zurück.
10. Wählen Sie die Berechtigungen, die Sie Kontrolle delegieren möchten Next Über klicken.
Sie müssen die Berechtigungsgruppen und die einzelnen spezifischen Berechtigungen.
Eine Zusammenfassung der Delegation erscheint.
11. Klicken Sie auf Fertig stellen.
Das ist es. Nun ist die angegebene OU hat einen neuen Master. Als lokaler oder Domain-Administrator, können Sie immer noch direkt verwalten, dass OU, aber die neu delegierten administer definiert sind, können aufgefordert werden, diese redundant und profane Aufgaben auszuführen, die Sie so lange gehasst habe. Mit ein wenig Planung und Einfallsreichtum, können Sie Ihre Benutzer die meisten Ihrer Arbeit zu tun!