Делегированное администрирование - Википедия - Delegated administration
 | Эта статья не цитировать любой источники. (Август 2007 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
В вычислениях делегированное управление или же делегирование контроля описывает децентрализация из управление доступом на основе ролей системы. Многие предприятия используют централизованную модель контроля доступа. Для крупных организаций эта модель плохо масштабируется и ЭТО команды становятся обремененными черными просьбами о смене ролей. Эти запросы, которые часто используются, когда в организации происходят события найма, увольнения и смены ролей, могут иметь большие задержки или страдать из-за слабой практики безопасности.
Такое делегирование включает в себя назначение определенного человека или группы административных разрешений для Организационная единица. В управлении информацией это используется для создания групп, которые могут выполнять определенные (ограниченные) задачи по изменению информации в каталоге пользователей или базе данных. Цель делегирования - создать группы с минимальными разрешениями, которые дают возможность выполнять авторизованные задачи. Предоставление посторонних / лишних разрешений создаст возможности, выходящие за рамки разрешенного объема работы.
Один из лучших способов управления ролями предприятия - это использование LDAP группы. Делегированное администрирование относится к децентрализованной модели ролевого или группового управления. В этой модели владелец приложения или процесса создает, управляет и делегирует управление ролями. Централизованная ИТ-группа просто управляет службой каталога, метакаталога, веб-интерфейса для администрирования и связанных компонентов.
Разрешение владельцу приложения или бизнес-процесса создавать, управлять и делегировать группы поддерживает гораздо более масштабируемый подход к администрированию прав доступа.
В метакаталог среды, эти роли или группы также могут быть «продвинуты» или синхронизированы с другими платформами. Например, группы можно синхронизировать с собственными операционными системами, такими как Майкрософт Виндоус для использования на список контроля доступа который защищает папку или файл. В случае групп распределения метакаталога центральный каталог является центральным хранилищем групп.
Некоторые корпоративные приложения (например, PeopleSoft ) по сути поддерживают группы LDAP. Эти приложения могут использовать LDAP для вызова каталога для авторизации.
Веб-инструменты управления группами, используемые для делегированного администрирования, поэтому предоставляют следующие возможности с использованием каталога в качестве репозитория группы:
- Децентрализованное управление группами (ролями) и правами доступа со стороны владельцев бизнеса или процессов
- Категоризация или сегментирование пользователей по характеристикам, а не по перечислению
- Группировка пользователей для электронной почты, подписки и контроля доступа
- Сокращение рабочего процесса по обслуживанию групп
- Воспроизведение групп на нескольких платформах и в разных средах
Active Directory
В Microsoft Active Directory административные разрешения это достигается с помощью мастера делегирования управления. Типы разрешений включают управление и просмотр учетные записи пользователей, управление группами, управление групповая политика ссылки, генерирующие Результирующий набор политик, а также управление и просмотр InOrgPerson учетные записи.
Использование делегирования контроля может заключаться в том, чтобы дать менеджерам полный контроль над пользователями в их собственном отделе. Благодаря такому расположению менеджеры могут создавать новых пользователей, группы и компьютерные объекты, но только в своем собственном OU.
Смотрите также
Список для чтения
- Делегирование полномочий в Active Directory, Журнал TechNet
- Встроенные группы против делегирования, WindowsSecurity.Com