Innehållsförteckning:
Video: Vad jag arbetar med! 2025
Att vara administratör inom en Windows 2000-domän är inte längre densamma som att vara en administratör inom en Windows NT-domänen. Först och främst ger administratörstaggnamnet inte dig status som mindre gudomlig. Du behöver inte längre ge alla dina nätverkshanteringsassistenter möjlighet att ta hela organisationen på knä med en dålig knapptryckning. I stället kan du skapa organisatoriska enheter (OU) och delegera administrativa möjligheter över dessa OUer för att välja användare utan att ge dem ytterligare kontroll eller kapacitet över någon annan del av domänen.
Microsoft utvecklade detta begrepp av delegerad myndighet för att hjälpa till att minska de uppgifter som krävs av en enskild individ. Så här gör du: Skapa OUs över avdelningar och bevilja avdelningschefer administrativa privilegier över sina OUs; Placera avdelningscheferna i en OU baserad på sektionschefer och bevilja en sektionschefs administrativa behörigheter över den OU; sedan gruppsektionschefer genom divisioner och placera en divisionchef och så vidare. Så småningom delegerar du administrativ kontroll över användare, grupper, datorer, skrivare, delade mappar och mer till andra, vilket innebär att du som domänadministratör behöver störa endast med väldigt pressande problem, till exempel att installera nya domänkontrollanter och skapa lita på eller bygga upp hela nätverket efter en brand.
Skönhet finns i detaljerna
Åtkomstkontrolllistor (ACL) var närvarande inom Windows NT-domänkonceptet. Som en del av dess egenskaper har varje objekt en lista över användare och grupper som har specifika åtkomstnivåer beviljad eller nekad till dem. Windows 2000 har tagit denna idé och gått ballistisk med den. Nu har varje objekt inte en mastern ACL för objektåtkomst, men varje attribut och egenskap på ett objekt har sin egen distinkta ACL. Du kan nu styra på en extremt fin nivå som kan göra exakt vad till vilka föremål. Du kan tilldela en användare möjligheten att ändra telefonnummer på alla användare i Sales OU men inte ge den användaren möjlighet att hantera någon annan aspekt av dessa objekt. Du kan köra dig själv och dina användare är galna med nivån på detaljerad kontroll som Windows 2000 erbjuder dig.
Utdela behörigheter
Hantera behörigheter i Active Directory-objekt liknar hantering av behörigheter för filer, aktier och skrivare. I stället för att ske i Windows Utforskare, Den här datorn eller mappen Skrivare sker det i verktyget Active Directory Users and Computers.Hittills har du använt det här verktyget halvblind. Du visste inte ens att du hade ett befäl att väsentligt förstärka det här verktyget. Om du väljer kommandot Visa -> Avancerade funktioner från menyraden blir många andra containrar, kommandon och egenskaper detaljer tillgängliga.
Välj något objekt från en behållare och öppna dess dialogruta Egenskaper; välj sedan fliken Säkerhet. Du ser ett känt gränssnitt som anger användare och grupper som har behörigheter till det här objektet, en lista över behörigheter som är specifika för den här objekttypen, kolumner Tillåt och Neka kryssrutor, en Avancerad knapp och en kryssruta om arv. Detta gränssnitt fungerar precis som de som du ser när du hanterar filer. Mängden detaljer som erbjuds här och via Avancerat-knappen (där du kan ställa in mer detaljerade behörigheter och hantera granskning och ägande) är övertygande. Om du är ett kontrollfreak, är detta OS det enda du vill!
Delegera kontroll över OUs
Delegering av administrativ kontroll över OU är bedrägligt enkel; följ bara dessa steg:
1. På en domänkontrollant för Windows 2000 Server klickar du på Start-knappen och väljer Program -> Administrationsverktyg och sedan något av Active Directory-verktygen.
2. Utöka behållarna för att hitta den webbplats, domän eller OU som du vill delegera och välj det objektet.
3. Välj Åtgärd -> Delegera kontroll.
4. Klicka på Nästa i guiden Delegation som visas.
5. Klicka på Lägg till.
6. Leta reda på och välj en användare eller grupp för att ge administratörskontroll till det här objektet och klicka sedan på Lägg till.
7. Upprepa steg 5 och 6 för att lägga till andra användare eller grupper.
8. Klicka på OK och sedan på Nästa.
9. Välj omfattningen av delegationen till antingen den här behållaren och alla objekt i den här behållaren som finns nu och skapad i framtiden eller för att begränsa den till specifika typer av objekt genom kryssrutor. klicka på Nästa.
Föremålen i den här listan är specifika för den OU-typ som valts tillbaka i steg 2.
10. Välj vilka behörigheter som du vill delegera kontroll över; klicka på Nästa.
Du måste välja behörighetsgrupperna och de enskilda specifika behörigheterna.
En sammanfattning av delegationen visas.
11. Klicka på Slutför.
Det är det. Nu har den angivna OU en ny mästare. Som en lokal eller domänadministratör kan du fortfarande hantera den OU, men den nyligen definierade delegerade administratören kan uppmanas att utföra de redundanta och vardagliga uppgifter som du har hatat för så länge. Med lite planering och uppfinningsrikedom kan du få dina användare att göra det mesta av ditt arbete!
