[ Pobierz całość w formacie PDF ]
.Sprzeda¿Phx Sales = Sprzeda¿ PhxPhx Sales Gurus = Guru Sprzeda¿ PhxACL with standard rights for Phx Sales = Lista kontroli dostêpu zestandardowymi prawami dla d.Sprzeda¿ PhoenixACL with admin rights for Phx Sales Gurus = Lista kontroli dostêpu z prawamiadministracyjnymi dla Guru d.Sprzeda¿ PhoenixACL with standard access rights for Phx Sales = Lista kontroli dostêpu zestandardowymi prawami dostêpu dla d.Sprzeda¿ PhoenixACL with Limited admin rights for Phx Sales Gurus = Lista kontroli dostêpu zograniczonymi prawami administracyjnymi dla Guru d.Sprzeda¿ PhoenixACL with limited rights for Phx Sales Gurus = Lista kontroli dostêpu i zograniczonymi prawami dla Guru d.Sprzeda¿ PhoenixAby utworzyæ strukturê przedstawion¹ na rysunku 10.28, administratorzy musz¹ arozpocz¹æ od utworzenia kontenera dla dzia³u sprzeda¿y.Kontener ten, o nawieSprzeda¿, jest umieszczany w kontenerze Phoenix.Struktura kontenera jestpodobna do struktury g³Ã³wnego kontenera, co zapewnia zgodnoœæ zarz¹dzania.Po utworzeniu kontenera Sprzeda¿ tworzone s¹ obiekty dzia³u, takie jaku¿ytkownicy, grupy, komputery, drukarki i serwery, nad którymi kontrolê bêdziesprawowaæ mened¿er dzia³u.Nastêpnie administratorzy Phoenix musz¹ utworzyæ grupê globaln¹ o nazwie AdminSprzeda¿ Phx.Grupa ta nie musi byæ grup¹ uniwersaln¹, gdy¿ nie bêdzie onau¿ywana do kontroli obiektów w domenie Subsidiary.com.Je¿eli w przysz³oœciadministratorzy zdecyduj¹ siê na przyznanie praw kontroli równie¿ nad obiektamidomeny Subsidiary.com, konieczne bêdzie zaktualizowanie grupy i dostosowaniejej do grupy uniwersalnej.Administratorzy Phoenix zape³niaj¹ grupê Admin Sprzeda¿ Phx cz³onkami zespo³uadministracyjnego dzia³u sprzeda¿y, po przeniesieniu ich obiektów do konteneraSprzeda¿.Zamiast umieszczenia grupy Admin Sprzeda¿ Phx w kontenerze Sprzeda¿,grupa zostaje umieszczona w kontenerze g³Ã³wnym Phoenix.Gdyby zosta³aumieszczona w obiekcie Sprzeda¿, cz³onkowie grupy Admin Sprzeda¿ Phx mielibyprawo przy³¹czania do grupy nowych cz³onków, w tym równie¿ cz³onków z innychdzia³Ã³w.Aby unikn¹æ sporów z administratorami dzia³u, najlepiej nieudostêpniaæ im tego przywileju.Administratorzy Phoenix tworz¹ równie¿ grupê Guru Sprzeda¿ Phx, której nieprzypisuj¹ ¿adnych cz³onków.Umieszczaj¹ tê grupê w kontenerze Sprzeda¿, doktórego administratorzy dzia³u posiadaj¹ pe³ne prawo dostêpu.Grupa AdminSprzeda¿ Phx mo¿e utworzyæ inne grupy w kontenerze Sprzeda¿ i korzystaæ z nichdo przyznawania uprawnieñ NTFS na ich stacjach roboczych i serwerach.Jedn¹ z najwa¿niejszych decyzji jest okreœlenie praw dziedziczenia dla grupyAdmin Sprzeda¿ Phx.Administratorzy Phoenix posiadaj¹ pe³ne prawa dostêpu dokontenera Phoenix, co daje im automatycznie pe³ne prawo dostêpu do konteneraSprzeda¿.W tym miejscu powstaje pewien spór.Otó¿ administratorzy dzia³uSprzeda¿ chc¹ ograniczyæ prawa g³Ã³wnych administratorów do kontenera Sprzeda¿(chc¹ zablokowaæ opcjê dziedziczenia), a administratorzy nalegaj¹ napozostawienie im pe³nych praw, na wypadek udzielenia pomocy administratoromdzia³u w przypadku jakichkolwiek problemów.Podejmowanie decyzji jest zawsze bardzo burzliwe i czêsto dzieje siê za plecamiinnych.Grupa Admin Sprzeda¿ Phx, posiadaj¹ca pe³ne prawo dostêpu do konteneraSprzeda¿ Sales, zablokuje najprawdopodobniej opcjê dziedziczenia.G³Ã³wniadministratorzy widz¹c tê zmianê, u¿yj¹ praw grupy Enterprise Admins(Administratorzy przedsiêbiorstwa) i odblokuj¹ opcjê dziedziczenia.Id¹c zaciosem, zmieni¹ prawa kontroli grupy Admin Sprzeda¿ Phx, udostêpniaj¹c jejprawo kontroli dziedziczenia tylko dla podrzêdnych obiektów kontenera Sprzeda¿.Dziêki temu grupa nie bêdzie mia³a ¿adnego wp³ywu na dziedziczenie praw dlakontenera Sprzeda¿.Na rysunku 10.29 widoczny jest przyk³ad takiejkonfiguracji.Rysunek 10.28.Lista praw dla kontenera Sprzeda¿Je¿eli zamiast struktury wielokatalogowej wielo-katalogowej zaprojektujeszstrukturê wielodomenow¹ — wielo-domenow¹, napotkasz na ten sam problem.Szczegó³y operacji bêd¹ bardziej skomplikowane, gdy¿ przenoszenie obiektówpomiêdzy domenami jest znacznie trudniejsze, jakkolwiek rodzaje operacjizostan¹ dok³adnie te same.Pamiêtaj o tym, aby g³Ã³wna domena posiada³a pe³neprawa dostêpu do obiektów, które by³yby dziedziczone w dó³ drzewa katalogowego.Natomiast obiektom znajduj¹cym siê w ni¿szych czêœciach drzewa przydzielajpe³ne prawa administracyjne tylko dla ich obiektów podrzêdnych.U¿ywanie us³ugi pomocniczego logowania i polecenia RunAsW tym rozdziale przedstawiono wiele przyk³adów codziennej pracy administratora,loguj¹cego siê na konto posiadaj¹ce pe³ne prawa administracyjne.Trzeba jednakzaznaczyæ, ¿e czêste korzystanie z takiego konta nie jest najlepszymrozwi¹zaniem.Mo¿e to byæ przyczyn¹ wielu problemów zwi¹zanych z uaktywnieniemwirusów, przypadkowym naciœniêciem klawisza Delete itp.Windows 2000 udostêpnia us³ugê pomocniczego logowania (Secondary LogonService), która umo¿liwia korzystanie ze standardowego konta u¿ytkownika, ajednoczeœnie pozwala na uruchamianie konsoli administracyjnej z pe³nymi prawamiadministracyjnymi.Konsola mo¿e byæ uruchamiana tylko wtedy, gdy jestpotrzebna.W³aœciwoœæ ta jest podobna do uniksowego polecenia SU (superuser),lecz jest implementowana w nieco inny sposób.Us³uga pomocniczego logowania jest instalowana domyœlnie i uruchamiana podczas³adowania systemu (jest dostêpna w aplikacji SERVICES.EXE).Kod us³ugi znajdujesiê w pliku SECLOGON.DLL.Us³uga jest dostêpna za pomoc¹ polecenia RunAs, któremo¿na uruchomiæ z wiersza poleceñ albo okna Run (Uruchom).Sk³adnia RunAs jestnastêpuj¹ca: runas /u:domain\user exe albo runas /i:user@domain.root exe
[ Pobierz całość w formacie PDF ]