Делегирование и безопасность объектов Active Directory. Просмотр списка ACL

У большинства организаций работают несколько администраторов. Соответственно, чем больше организация, тем больше администраторов задействуют. Для примера, во многих организациях есть служба технической поддержки, которая обычно не может создавать новые учетные записи. Но техническая поддержка имеет возможность вносить изменения в учетные записи, которые уже существуют.
 

Абсолютно все объекты, относящиеся к Active Directory, например пользователи, группы и компьютеры, могут быть зачищены при помощи списка разрешений. То есть это значит то, что службе технической поддержки предоставлено разрешение сброса паролей объектов пользователя. Такие разрешения для объекта получили название Записи контроля доступа. Записи АСЕ сохраняются в дискреционном списке контроля доступа. Список DACL – это составляющая АСL объекта, который, в свою очередь, содержит системный список контроля доступа, оснащенный параметрами аудита.
 

Делегирование административного контроля, которое в разных источниках может называться и просто делегирование и делегированием контроля.

Делегирование – это лишь назначение разрешений на управление доступом к объектам и свойствам.
 

На нижнем уровне располагается список ACL отдельного объекта пользователя. Для того чтобы просмотреть список объекта, необходимо выполнить следующие действия:
 

1. Выполнить открытие оснастки Active Directory –пользователи и ПК.
 

2. Кликнуть по меню под названием Вид. После этого выберете Дополнительные компоненты.
 

3. Выполните клик правой кнопкой мышки по объекту. После этого примените команду Свойства.
 

4. Выполните переход на вкладку Безопасность. В том случае, если дополнительные компоненты не включены, то Вы не сможете увидеть вкладку под

названием Безопасность.
 

5. Выполните клик по – Дополнительно. Вкладка Безопасность содержит в себе данные высокого уровня с разрешением доступа к объекту. Но в случае со списками ACL , очень редко существуют подробные списки на вкладке безопасности. По этой причине необходимо выполнить кнопке Дополнительно, после чего будет открыто диалоговое окно Дополнительные параметры безопасности.
 

6. Для просмотра отдельной записи ACE необходимо выбрать ее и выполнить клик по кнопке Изменить.