Table des matières:
- La beauté est dans les détails
- Distribution des autorisations
- Délégation du contrôle sur les unités d'organisation
Vidéo: Impossible de télécharger un fichier ou ouvrir un fichier téléchargé 2025
Être administrateur dans un domaine Windows 2000 n'est plus le même que celui d'administrateur dans un environnement Windows. Domaine NT. Tout d'abord, le nom de balise administrateur ne vous accorde plus le statut de divinité mineure. Vous n'avez plus besoin d'accorder à tous vos assistants de gestion de réseau la capacité de mettre toute votre organisation à genoux avec une mauvaise frappe. Au lieu de cela, vous pouvez créer des unités d'organisation (UO) et déléguer des fonctions d'administration sur ces unités d'organisation pour sélectionner des utilisateurs sans leur accorder de contrôle ou de capacité supplémentaires sur toute autre partie du domaine.
Microsoft a développé ce concept de délégation d'autorité pour aider à réduire les tâches requises par un seul individu. Voici comment vous le faites: Créez des unités d'organisation sur les départements et accordez des privilèges administratifs aux chefs de département sur leurs unités d'organisation; placez ensuite les chefs de département dans une unité d'organisation basée sur les gestionnaires de section et accordez des privilèges administratifs de gestionnaire de section sur cette unité d'organisation; Ensuite, regroupez les gestionnaires de section par division et placez un chef de division et ainsi de suite. Éventuellement, vous déléguez le contrôle administratif sur les utilisateurs, groupes, ordinateurs, imprimantes, dossiers partagés, etc., ce qui signifie que vous, en tant qu'administrateur de domaine, ne devez vous soucier que de problèmes urgents, tels que l'installation de nouveaux contrôleurs de domaine, la création approuve ou reconstruit l'ensemble du réseau après un incendie.
La beauté est dans les détails
Les listes de contrôle d'accès (ACL) étaient présentes dans le concept de domaine Windows NT. Dans le cadre de ses propriétés, chaque objet possède une liste d'utilisateurs et de groupes qui ont des niveaux d'accès spécifiques accordés ou refusés. Windows 2000 a pris cette idée et est allé balistique avec elle. Maintenant, chaque objet possède non seulement une liste de contrôle d'accès principale pour l'accès aux objets, mais chaque attribut et propriété d'un objet possède sa propre liste de contrôle d'accès distincte. Vous pouvez maintenant contrôler à un niveau extrêmement fin qui peut faire exactement quoi à quels objets. Vous pouvez affecter à un utilisateur la possibilité de modifier les numéros de téléphone de tous les utilisateurs de l'unité d'organisation des ventes, mais ne pas lui accorder la capacité de gérer tout autre aspect de ces objets. Vous pourriez conduire vos utilisateurs et vous-même avec le niveau de contrôle détaillé que Windows 2000 vous offre.
Distribution des autorisations
La gestion des autorisations sur les objets Active Directory est similaire à la gestion des autorisations sur les fichiers, les partages et les imprimantes. Au lieu de se dérouler dans Windows Explorer, My Computer ou le dossier Imprimantes, il se déroule dans l'outil Utilisateurs et ordinateurs Active Directory.Jusqu'à maintenant, vous utilisiez cet outil à moitié aveugle. Vous ne saviez probablement même pas que vous aviez une commande pour amplifier essentiellement les capacités de cet outil. Si vous choisissez la commande Affichage -> Fonctions avancées dans la barre de menus, de nombreux autres conteneurs, commandes et détails de propriétés deviennent accessibles.
Sélectionnez un objet dans un conteneur et ouvrez sa boîte de dialogue Propriétés; puis sélectionnez son onglet Sécurité. Vous voyez une interface familière répertoriant les utilisateurs et les groupes auxquels des autorisations ont été attribuées à cet objet, une liste d'autorisations spécifiques à ce type d'objet, des colonnes de cases à cocher Autoriser et Refuser, un bouton Avancé et une case à cocher relative à l'héritage. Cette interface fonctionne exactement comme celles que vous voyez dans la gestion des fichiers. La quantité de détails proposés ici et via le bouton Avancé (où vous pouvez définir des autorisations plus détaillées et gérer l'audit et la propriété) est époustouflant. Si vous êtes un fan de contrôle, ce système d'exploitation est celui pour vous!
Délégation du contrôle sur les unités d'organisation
La délégation du contrôle administratif sur les unités d'organisation est simplissime; il suffit de suivre ces étapes:
1. Sur un contrôleur de domaine Windows 2000 Server, cliquez sur le bouton Démarrer et choisissez Programmes -> Outils d'administration, puis l'un des outils Active Directory.
2. Développez les conteneurs pour localiser le site, le domaine ou l'unité d'organisation que vous souhaitez déléguer et sélectionnez cet objet.
3. Choisissez Action -> Déléguer le contrôle.
4. Cliquez sur Suivant dans l'assistant de délégation qui apparaît.
5. Cliquez sur Ajouter.
6. Recherchez et sélectionnez un utilisateur ou un groupe pour accorder le contrôle d'administration à cet objet, puis cliquez sur Ajouter.
7. Répétez les étapes 5 et 6 pour ajouter d'autres utilisateurs ou groupes.
8. Cliquez sur OK, puis sur Suivant.
9. Sélectionnez la portée de la délégation soit à ce conteneur et tous les objets dans ce conteneur existant maintenant et créé dans le futur ou pour le limiter à des objets types spécifiques par des cases à cocher; cliquez sur Suivant.
Les éléments de cette liste sont spécifiques au type OU sélectionné à l'étape 2.
10. Sélectionnez les autorisations sur lesquelles vous souhaitez déléguer le contrôle; cliquez sur Suivant.
Vous devez sélectionner les groupements d'autorisations et les autorisations spécifiques individuelles.
Un résumé de la délégation apparaît.
11. Cliquez sur Terminer.
C'est tout. Maintenant, l'unité d'organisation spécifiée a un nouveau maître. En tant qu'administrateur local ou de domaine, vous pouvez toujours gérer directement cette unité d'organisation, mais l'administrateur délégué nouvellement défini peut être appelé pour effectuer ces tâches redondantes et banales que vous avez longtemps détestées. Avec un peu de planification et d'ingéniosité, vos utilisateurs peuvent faire la plus grande partie de votre travail!
