Ограничение доступа к данным каталога

В некоторых случаях, например из соображений безопасности или секретности, доступ к определенной информации в каталоге может быть ограничен. Разрешения контроля доступа обеспечивают расширенный контроль за видимостью данных, сохраненных в Active Directory. Разрешения гарантируют доступ к конкретным данным каталога только тем пользователям, которым эти данные действительно необходимы. Сведения о назначении разрешений объектам или свойствам Active Directory см. в разделе Назначение, изменение или удаление разрешений на объекты Active Directory или атрибуты. Дополнительные сведения см. в разделе Советы и рекомендации по назначению разрешений для объектов Active Directory.

Эффективные поисковые средства

Администраторы могут использовать расширенные диалоговые окна поиска оснастки «Active Directory — пользователи и компьютеры» для эффективного выполнения задач по управлению, а также для фильтрации данных, полученных из каталога. Дополнительные сведения см. в разделе Поиск в службе Active Directory.

Кроме того, администраторы могут быстро объединять объекты в группы с минимальной загрузкой сети, используя запросы без просмотра для поиска сходных элементов. Дополнительные сведения см. в разделе Добавление участника группы.

Администрирование других доменов

Администрирование других доменов

В организации, использующей более одного домена, часто возникает необходимость администрирования не того домена, в который вошел пользователь, а другого. Например, требуется создать доверительное отношение как в домене-доверителе, так и в доверенном домене. Это можно сделать следующими способами:

• при содействии пользователей, имеющих административные полномочия в другом домене;
• путем входа в сеть с использованием учетной записи, обладающей необходимыми разрешениями;
• с использованием команды «Запуск от имени» для запуска административного средства и подключения с его помощью к определенному домену (рекомендуется).

Безопасным методом управления административным доступом к определенному домену является тщательный контроль количества учетных записей, добавленных в группу «Администраторы домена» для данного домена, и количества пользователей, использующих данные учетные записи. Только члены группы «Администраторы домена» (или группы «Администраторы предприятия») могут вносить в домен значительные административные изменения.

Например, если администратору домена в одном домене необходимо установить сокращенное доверительное отношение с другим доменом, он может установить доверительное отношение в своем домене путем соединения с администратором другого домена, используя надежный пароль для создания доверительного отношения. При этом необходимо, чтобы администратор другого домена создал подобное доверительное отношение в своем домене.

Более удобным, но менее безопасным способом администрирования нескольких доменов является интерактивный вход в сеть с использованием учетной записи, обладающей административными разрешениями в обоих доменах. Например, учетные записи пользователей, входящие в группу безопасности «Администраторы предприятия», имеют разрешения на администрирование любого из доменов данного леса. Не рекомендуется вход на компьютер с учетной записью пользователя, имеющей широкий административный доступ. Дополнительные сведения см. в разделе Почему не следует работать на компьютере, используя учетную запись администратора.

Для безопасного администрирования доменов в любом лесу организации можно использовать команду «Запуск от имени» с соответствующим именем пользователя и паролем. Дополнительные сведения см. в разделе Использование команды «Запуск от имени».

Примечания

• По соображениям безопасности рекомендуется никогда не входить в систему с учетной записью, обладающей более широкими полномочиями, чем требуется для выполнения текущей задачи.
• Рекомендуется также ограничить область определенных административных прав и разрешений только теми задачами, которые обычно выполняются администратором.
• Использовать пакет средств администрирования Windows 2000 для администрирования домена или леса Windows Server 2003 нельзя. Дополнительные сведения см. в разделе Общие сведения о пакете средств администрирования Windows Server 2003.