Expert Zone  (Farsi User Guide)  
Winteacher.com
Resource: Winteacher.com Published : September 2006

 

Active Directory - Delegation Control

Account Delegation

در این بخش به معرفی انواع Delegation هایی که می توان برای یک Account در Domain در نظر گرفت می پردازیم .

برای یک شبکه یا چند شبکه یا چند Sebnet نمی توان تمامی وظایف را به یک Admin داد در نتیجه باید چندین Admin داشت اما وجود

چند Admin برای شبکه می تواند Security را کم کند به همین دلیل به جای دادن قدرت Administrator به چند User می توان به آن

چند Account توانایی های متفاوت داد برای مثال می تواند برای یک Account قدرت این که بتواند بر روی Domain برای افرار Account ایجاد کند

و PWD آنها را نیز معرفی کند داد. و یا بتواند  یک ou  در ADS مدیریت کند و یا بتواند Policy هایی ایجاد کند و بر روی ou های متفاوت اعمال کند و...

این اعمال را فقط یک Administrator می تواند انجام دهد اما از طریق Delegation می تواند این توانایی ها را به Account های مد نظر داد .

در نتیجه ما یک یا دو Admin واقعی داریم و چند Account در شبکه که دارای توانایی های خاص می باشند .

 
Delegation

برای شروع یک مثال زده می شود تا بهتر با مفاهیم Delegation آشنا شویم .

برای شروع ما یک User بنام 1 داریم در Domain بنام Enterprise.com .و می خواهیم این User بتواند برای یک OU خاص Policy های تعریف شده را

فقط Link کند یا در واقع فقط بتواند یک Policy را به آن OU بدهد یا آن را حذف کند . این User نماینده شما در آن OU می باشد و زمانی که شما یک Policy

را ایجاد کردید می خواهید که این فرد بتواند آن Policy ها را به OU واحد خود Link کند .

همانند شکل 1 بر روی آن OU می تواند Right-click کرد و گزینه Delegation Control را انتخاب کرد .

   Figure 1: AD - Delegation Control

     Figure 1: AD - Delegation Control - Step 1

در مرحله بعد باید User را که مد نظر دارید مشخص کنید .همانند شکل 2 .

   Figure 2: AD - Delegation Control - Step 2

     Figure 2: AD - Delegation Control - Step 2

بعد ار انتخاب فردی که قرار است دارای توانایی جدید شود در مرحله بعد همانند شکل 3 شما باید اختیارات آن را مشخص کنید .

   Figure 3: AD - Delegation Control - Step 3

     Figure 3: AD - Delegation Control - Step 3

بعد از دادن Delegation همانند شکل 3 یعنی Manage Group Policy links کلید Next زده و در آخر Finish کرده .

از این به بعد این User می تواند فقط بر روی OU بنام C# Developer یک سری Policy که شما به عنوان Admin ایجاد کرده اید را Link کند.

 
GPMC and Delegation Tab

بعد انجام این کار در GPMC می توانید بر روی آن OU و  در Delegation Tab می توانید مشاهده کنید که User 1 وجود دارد .

  

     Figure 4: GPMC - Delegation Tab

اگر بر روی این TAB بر روی کلید Advanced کلیک کنید همانند شکل 5 می توانید Permission داده شده به این User را مشاهده کنید بصورت ریزتر.

   Figure 5: GPMC - Delegation Tab - Advanced Button - Security

     Figure 5: GPMC - Delegation Tab - Advanced Button - Security

همانند شکل 5 می تواند دید که این فرد دارای Special Permissions می باشد بر روی Advanced در شکل 5 کلیک کرده تا در منوی شکل 6 بتوان

کاملا مشاهده کرد که این User چه دسترسی به این OU دارد .

   Figure 6: GPMC - Delegation Tab - Advanced Button - Security - Advanced Security

     Figure 6: GPMC - Delegation Tab - Advanced Button - Security - Advanced Security

بر روی یکی از این دو Permissions که هر دو Read/Write می باشد کلیک کرده تا منوی مانند شکل 7 ظاهر شود .

   Figure 7: GPMC - Delegation Tab - ... - Permission  Entry for C# Developer "OU"

     Figure 7: GPMC - Delegation Tab - ... - Permission  Entry for C# Developer "OU"

برای این OU دو  Permission Read gPOptions/Write gPOptions وجود دارد و البته در Permission دوم در شکل 6 یک Permission دیگر وجود دارد

بنام gPLinks که آن هم مانند شکل 7 دارای دو حالت Read/Write می باشد . این دو Permission به User اجازه می دهد که Option های یک OU

در بخش Policy را بتواند Read کند و همچنین Write کند . و gPLink نیز اجازه می دهد که یک GPO به OU بتواند Link کند .

 

برای اینکه این مورد را چک کنید می توانید از Runas استفاده کرده و ADS.MSC را توسط USER 1 اجرا کنید و یا اینکه بر روی Client از طریق نصب

AdminPack Server 2003  این ADS.MSC را اجرا کنید و یا بر روی یک Member Server این تست را انجام دهید در این بخش ما از یک MemberServer

استفاده کردیم برای چک کردن این مورد .

 
Client Side

در ابتدا بر روی Memberserver توسط آن User به Domain وارد شده و ADS.MSC را اجرا می کنیم .

   Figure 8-1: AD - OU Properties - Group Policy Tab

     Figure 8-1: AD - OU Properties - Group Policy Tab - (Current User 1@enterprise.com)

همانند شکل 1-8 بر روی آن OU رفته و در Properties آن در بخش Group Policy وارد می شویم . در این جا ما توسط ای ن User اجازه ایجاد

یک Policy جدید را نداریم همانند شکل 2-8 می بینید که با زدن کلید New سیستم Error: Access is Denied را می دهد .

   Figure 8-2: Group Policy Error : Access is Denied

     Figure 8-2: Group Policy Error : Access is Denied - (Current User 1@enterprise.com)

پس ما مطمئن می شویم که فرد اجازه ایجاد یک Policy جدید ندارد اما می تواند یک Policy را به OU ما Link کند با زدن کلید Add.

همانند شکل 3-8 می توان دید که User می تواند یک Policy را به OU ربط دهد .

   Figure 8-3: Add a GPO Link

     Figure 8-3: Add a GPO Link - (Current User 1@enterprise.com)

 

در آخر ما می بینیم که OU ما دارای یک GPO شده که به آن Link شده .

    Figure 8-4: OU - Linked GPOs Tab

     Figure 8-4: OU - Linked GPOs Tab

 
Winteacher.com
Expert Zone  (Farsi User Guide)

LastUpdate:2006/09/01 - Release:1

Active Directory - Delegation Control