Trabajar con permisos de directorio en una red Windows 2000

Ser un administrador dentro de un dominio de Windows 2000 ya no es lo mismo que ser un administrador dentro de un dominio de Windows NT. En primer lugar, el nombre de la etiqueta de administrador ya no otorga el estado que menor deidad similar. Usted ya no tendrá que conceder a todos sus asistentes de gestión de red la capacidad de traer a toda su organización de rodillas con un mal golpe de teclado. En su lugar, puede crear unidades organizativas (OU) y delegar funciones administrativas más de esas unidades organizativas para seleccionar los usuarios sin otorgarles ningún control adicional o capacidad por encima de cualquier otra parte del dominio.

Microsoft desarrolló este concepto de autoridad delegada para ayudar a reducir las tareas requeridas por un solo individuo. He aquí cómo hacerlo: Crear unidades organizativas sobre los departamentos y el departamento de subvención cabezas privilegios administrativos sobre su OUs- luego coloque los jefes de departamento en una unidad organizativa basada en jefes de sección y concede un gerente de la sección privilegios administrativos sobre ese OU- entonces jefes de sección grupo por las divisiones y colocar un gerente de la división y así sucesivamente. Con el tiempo, delegar el control administrativo de los usuarios, grupos, computadoras, impresoras, carpetas compartidas, y más a los demás, lo que significa que, como el administrador de dominio, necesita preocuparse únicamente con cuestiones muy urgentes, tales como la instalación de nuevos controladores de dominio, la creación de fideicomisos, o la reconstrucción de toda la red después de un incendio.

La belleza está en los detalles

Access Control Lists (ACL) estuvieron presentes en el concepto de dominio de Windows NT. Como parte de sus propiedades, cada objeto tiene una lista de usuarios y grupos que tienen niveles específicos de acceso concedido o negado a ellos. Windows 2000 ha tomado esta idea y se ha ido balísticos con él. Ahora, cada objeto no sólo tiene una ACL maestro para el acceso a objetos, pero cada atributo y la propiedad sobre un objeto tiene su propia ACL distinta. Ahora puede controlar en un nivel extremadamente fina que puede hacer exactamente lo que a la que se opone. Usted puede asignar un usuario la capacidad de cambiar los números de teléfono de todos los usuarios en la unidad organizativa de ventas, pero no conceder ese usuario la capacidad de administrar cualquier otro aspecto de los objetos. Usted podría conducir a ti mismo y tus usuarios dementes con el nivel de control detallado que Windows 2000 le ofrece.

La entrega de permisos

La gestión de los permisos de objetos de Active Directory es similar a la gestión de los permisos de archivos, recursos compartidos e impresoras. En lugar de tomar lugar en el Explorador de Windows, Mi PC o la carpeta Impresoras, que tiene lugar en el complemento Usuarios y equipos de herramienta activa. Hasta ahora, usted ha estado utilizando esta herramienta medio ciego. Es probable que ni siquiera sabía que tenía una orden para amplificar esencialmente las capacidades de esta herramienta. Si elige la Vista -> Funciones avanzadas comando desde la barra de menú, muchos otros recipientes, comandos y propiedades detalles se convierten en accesibles.

Seleccione cualquier objeto desde cualquier recipiente y abra sus propiedades diálogo caja- a continuación, seleccione la ficha Seguridad. Usted ve una interfaz lista familiares de usuarios y grupos asignados permisos para este objeto, una lista de permisos específicos para este tipo de objetos, columnas de Permitir y Denegar una casilla de verificación en relación con la herencia casillas de verificación, un botón de avanzada, y. Esto funciona de interfaz gusta exactamente los que se ven en la gestión de archivos. La cantidad de detalles que aquí se ofrecen y mediante el botón Avanzadas (donde se puede establecer permisos más detallados y gestionar la auditoría y la propiedad) es alucinante. Si eres un fanático del control, este sistema operativo es el uno para usted!

Delegar el control de unidades organizativas

Delegar el control administrativo de las unidades organizativas es engañosamente simple-sólo tienes que seguir estos pasos:


1. En un controlador de dominio de Windows Server 2000, haga clic en el botón Inicio y seleccione Programas -> Herramientas administrativas y, a continuación alguna de las herramientas de Active Directory.

2. Ampliar los contenedores para localizar el sitio, dominio o unidad organizativa que desea delegar y seleccione ese objeto.

3. Seleccione Acción -> Delegar control.

4. Haga clic en Siguiente en el asistente de Delegación que aparece.

5. Haga clic en Agregar.

6. Busque y seleccione un usuario o grupo para conceder control de administrador a este objeto ya continuación, haga clic en Agregar.

7. Repita los pasos 5 y 6 para agregar otros usuarios o grupos.

8. Haga clic en Aceptar y luego en Siguiente.


9. Seleccione el ámbito de la delegación ya sea este contenedor y todos los objetos dentro de este contenedor existente ahora y ha creado en el futuro o limitarlo a determinados tipos de objetos por cheque cajas- haga clic en Siguiente.

Los elementos de esta lista son específicos para el tipo de unidad organizativa seleccionada de nuevo en el paso 2.

10. Seleccione los permisos que desea delegar el control excesivo haga clic en Siguiente.

Es necesario seleccionar los grupos de permisos y los permisos específicos individuales.

Aparece un resumen de la delegación.

11. Haga clic en Finalizar.

Eso es. Ahora la unidad organizativa especificada tiene un nuevo amo. Como administrador local o de dominio, aún puede gestionar directamente esa unidad organizativa, pero el administrar delegado recién definida puede ser llamado a realizar esas tareas redundantes y mundanas que he odiado durante tanto tiempo. Con un poco de planificación e ingenio, puede hacer que sus usuarios haciendo la mayor parte de su trabajo!




» » » Trabajar con permisos de directorio en una red Windows 2000