Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Делегирование элемента управления означает, что можно назначать ряд административных задач различным пользователям и группам. Вы можете назначить базовые административные задачи обычным пользователям или группам, а также оставить администрирование на уровне домена и леса членам групп администраторов домена и корпоративных администраторов. Делегируя администрирование, вы можете разрешить группам в организации более контролировать свои локальные ресурсы. Вы также помогаете защитить среду Active Directory от случайного или вредоносного ущерба, ограничив членство в группах администраторов.
Вы можете делегировать административный контроль любому уровню дерева домена, создавая подразделения в домене и делегируя административный контроль для конкретных подразделений определенным пользователям или группам. Чтобы решить, какие организационные подразделения необходимо создать, и какие подразделения должны содержать учетные записи или общие ресурсы, рассмотрите структуру организации.
Active Directory определяет определенные разрешения и права пользователя, которые можно использовать для делегирования или ограничения административного управления. Используя сочетание подразделений, групп и разрешений, можно определить наиболее подходящую административную область для конкретного человека, которая может быть целым доменом, всеми подразделениями в домене или одним организационным подразделением.
Административный элемент управления можно назначить пользователю или группе с помощью мастера делегирования элементов управления. Мастер делегирования элементов управления можно использовать для делегирования следующих задач:
- Создание и удаление учетных записей пользователей и управление ими
- Переустановка паролей пользователей и установка изменения пароля при следующей перезагрузке
- Чтение информации обо всех пользователях
- Изменение членства в группах
- Присоединение компьютера к домену
- Управление ссылками на групповые политики
- Генерация RSoP (Планирование)
- Генерация RSoP (Протоколирование)
- Создание, удаление и управление учетными записями inetOrgPerson
- Сброс паролей inetOrgPerson и принудительное изменение пароля при следующем входе
- Чтение всех сведений inetOrgPerson
Prerequisites
Прежде чем можно делегировать управление, вам потребуется следующие предварительные требования.
Необходимо быть членом группы администраторов домена или делегировать необходимые разрешения для выполнения задач, которые вы хотите делегировать.
На компьютере, на котором вы будете делегировать управление, необходимо установить средства удаленного администрирования ad DS (RSAT).
Delegate control
При использовании мастера делегирования элементов управления делегирование делегироваться не только на уровне домена или подразделения, но и для всех объектов в этом контейнере.
Чтобы использовать мастер делегирования элементов управления, выполните следующие действия.
В Пользователи и компьютеры Active Directory выберите родительский контейнер. Например, выберите домен или подразделение, над которым вы хотите делегировать управление.
From the Action menu, select Delegate control. Откроется мастер делегирования элементов управления.
На странице "Пользователи или группы" выберите пользователей или группы, которым вы делегируете привилегии.
На странице "Задачи делегировать" выберите задачу, которую вы хотите делегировать из списка распространенных задач, как описано ранее в этой статье.
Нажмите кнопку "Готово", чтобы завершить процесс делегирования.
Вы также можете выбрать пользовательскую задачу, чтобы делегировать параметр, если вы хотите создать пользовательскую задачу. Создание настраиваемой задачи включает указание типа объекта, к которому относится задача, и разрешения, к которым требуется делегировать. Общие задачи применяются ко всем объектам в области контейнера, на котором выполняется делегирование.