Как правило, сети больших предприятий
на платформе Windows 2000 обладают чрезвычайно разветвленным деревом каталога.
Большое количество ветвей, а также наличие достаточно автономных площадок организации,
включенных в общее дерево каталога, усложняют управление. Администрирование сети,
каталог которой состоит из десятков тысяч объектов, не может безопасно осуществляться
одним или несколькими администраторами, имеющими права доступа ко всем объектам.
В подобных случаях следует
применять делегирование прав администрирования. Это чрезвычайно мощный
инструмент, который в больших организациях позволяет более эффективно сконфигурировать
систему безопасного администрирования. С его помощью управление отдельными областями
сети смогут осуществлять специально назначенные ответственные лица — администраторы.
При делегировании прав администрирования очень важно наделять ответственных
лиц полномочиями, позволяющими выполнять функции администратора только в пределах
их зоны ответственности, они не должны иметь возможность администрировать объекты
каталога, находящиеся в других частях сети организации.
Права на создание новых пользователей или групп предоставляются на уровне подразделения
или контейнера, в котором будут создаваться учетные записи. Администраторы групп
одного подразделения могут не иметь прав на создание и управление учетными записями
другого подразделения в том же домене. Однако, если права доступа и настройки
политик получены на более высоком уровне дерева каталога, они могут распространяться
вниз по дереву благодаря механизму наследования прав доступа.
Оснастка Active
Directory — пользователи и компьютеры значительно облегчает просмотр информации
о делегировании прав администрирования различным контейнерам. Само делегирование
прав администрирования также может быть выполнено без затруднений, поскольку интерфейс
позволяет выбрать того, кому вы хотите делегировать права, и права, которые следует
делегировать.
Типовые задачи администрирования Windows 2003
Аудит локальной системы
Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной
системе и имеющие отношение к безопасности: например, регистрация в системе
или попытки создания объекта файловой системы, получения к нему доступа или
удаления. Информация о подобных событиях заносится в файл журнала событий операционной
системы.
После включения аудита операционная система начинает отслеживать события, связанные
с безопасностью. Полученную в результате информацию (журнал Security) можно
просмотреть с помощью оснастки Event Viewer (Просмотр
событий). В процессе настройки аудита необходимо указать, какие события должны
быть отслежены. Информация о них помещается в журнал событий. Каждая запись
журнала хранит данные о типе выполненного действия, пользователе, выполнившем
его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет
отслеживать как успешные, так и неудачные попытки выполнения определенного действия,
поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку
выполнения неразрешенного ему действия.
