WikiDer > Делегированное администрирование - Википедия
 | Эта статья не цитировать любой источники. (Август 2007 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
В вычислениях делегированное управление или же делегирование контроля описывает децентрализация из управление доступом на основе ролей системы. Многие предприятия используют централизованную модель контроля доступа. Для крупных организаций эта модель плохо масштабируется и ЭТО команды становятся обремененными черными просьбами о смене ролей. Эти запросы, которые часто используются, когда в организации происходят события найма, увольнения и смены ролей, могут иметь большие задержки или страдать из-за слабой практики безопасности.
Такое делегирование включает в себя назначение определенного человека или группы административных разрешений для Организационная единица. В управлении информацией это используется для создания групп, которые могут выполнять определенные (ограниченные) задачи по изменению информации в каталоге пользователей или базе данных. Цель делегирования - создать группы с минимальными разрешениями, которые дают возможность выполнять авторизованные задачи. Предоставление посторонних / лишних разрешений создаст возможности, выходящие за рамки разрешенного объема работы.
Один из лучших способов управления ролями предприятия - это использование LDAP группы. Делегированное администрирование относится к децентрализованной модели ролевого или группового управления. В этой модели владелец приложения или процесса создает, управляет и делегирует управление ролями. Централизованная ИТ-группа просто управляет службой каталога, метакаталога, веб-интерфейса для администрирования и связанных компонентов.
Разрешение владельцу приложения или бизнес-процесса создавать, управлять и делегировать группы поддерживает гораздо более масштабируемый подход к администрированию прав доступа.
В метакаталог среды, эти роли или группы также могут быть «продвинуты» или синхронизированы с другими платформами. Например, группы можно синхронизировать с собственными операционными системами, такими как Майкрософт Виндоус для использования на список контроля доступа который защищает папку или файл. В случае групп распределения метакаталога центральный каталог является центральным хранилищем групп.
Некоторые корпоративные приложения (например, PeopleSoft) по сути поддерживают группы LDAP. Эти приложения могут использовать LDAP для вызова каталога для авторизации.
Веб-инструменты управления группами, используемые для делегированного администрирования, поэтому предоставляют следующие возможности с использованием каталога в качестве репозитория группы:
- Децентрализованное управление группами (ролями) и правами доступа со стороны владельцев бизнеса или процессов
- Категоризация или сегментирование пользователей по характеристикам, а не по перечислению
- Группировка пользователей для электронной почты, подписки и контроля доступа
- Сокращение рабочего процесса по обслуживанию групп
- Воспроизведение групп на нескольких платформах и в разных средах
Active Directory
В Microsoft Active Directory административные разрешения это достигается с помощью мастера делегирования управления. Типы разрешений включают управление и просмотр учетные записи пользователей, управление группами, управление групповая политика ссылки, генерирующие Результирующий набор политик, а также управление и просмотр InOrgPerson учетные записи.
Использование делегирования контроля может заключаться в том, чтобы дать менеджерам полный контроль над пользователями в их собственном отделе. Благодаря такому расположению менеджеры могут создавать новых пользователей, группы и компьютерные объекты, но только в своем собственном OU.
Смотрите также
Список для чтения
- Делегирование полномочий в Active Directory, Журнал TechNet
- Встроенные группы против делегирования, WindowsSecurity.Com