Делегирование прав в AD - это очень важная часть администрирования в организации, так как бывают случаи, когда нужно разделить права доступа среди сотрудников IT-отдела или есть необходимость предоставить доступ отдельным пользователям для редактирования определённых объектов в каталоге.

В данной статье мы не будем ворочать горы, а научимся на простом примере в рамках проекта телефонного справочника правильно передавать права пользователям, которым будут делегированы права по редактированию контактов в AD.

Итак нам дано:

1. Есть секретари, которым мы решили подкинуть лишней работы, так как самим нам типа некогда.
2. Нам необходимо дать права доступа только на редактирование уже готовых контактов, которые автоматически создаёт скрипт. Создавать и удалять контакты они не могут (в целях безопасности!)
3. У нас уже есть группа пользователей (AdressBook) в AD, куда мы добавили учётные записи секретарей.

Итак поехали...

Существует два способа. Первый самый сложный, а второй очень знакомый и простой (для тех, кто знает как разграничить права доступа к сетевым шарам). Мы с вами не будем искать сложных путей, так как админы должны больше отдыхать!

Начнём с. Для ещё большей простоты я решил оформить эту статью в картинках.

1. Нам необходимо запустить оснастку Active Directory Users and Computer.

2. Так как в рамках моего проекта мои скрипты работают с контейнером Users, то соответственно и делегирование будем проводить именно на этом контейнере. Вы же можете всё переделать по своему усмотрению.

4. Как мы видим теперь, у нас стало больше контейнеров, но нам для нашей задачи они не нужны.
 

5. А теперь перейдём к самому интересному. Жмём правую кнопку мыши на контейнере Users и вот здесь самая интересная вишка заключается в том, что мы выбираем не, казалось бы нужный нам пункт - делегирование управления, а свойства. В том то и изюминка, что пункт делегирование - это самый сложный, а мы с Вами выбрали самый простой. Но, конечно же, вам никто не запрещает воспользоваться сложным путём (я его тоже прошёл и на основе него вывел простой).
 

6. У нас появиться очень знакомое окно.
 

7. Нас, как всегда, интересует вкладка Безопасность.
 

8. И, как всегда, жмём всем известную кнопку Дополнительно.
 

9. Теперь нам осталось только добавить нашу группу пользователей AdressBook с необходимыми правами. Сразу скажу, что на самом деле я делегировал права сложным путём, который создал мне три новых записи во вкладке Разрешения. На сайте я описываю уже упрощённый вариант создания, дабы народ не заморачивался. Поэтому дальше нам придётся три раза добавлять права доступа, но так как мне лень досканально этот процесс коментировать, то я просто выделил ключевые моменты красным цветом и просто выкладываю картинки. Здесь только необходимо обратить внимание, что во вкладках Свойства в первой и второй необходимо все отметить галочки Разрешить, а в последней все галочки должны быть снятыми!
 

 

Ну вот пожалуй и всё, получится что-то типа такого



Нам остаётся толь нажать на кнопку ОК и дело в шляпе.

Жизнь админа должна быть проще!

---

Навигация по проекту Автономный телефонный справочник
Назад	Вперёд