Active Directory для Windows Server 2003


Наследование разрешений - часть 2


Чтобы блокировать наследование разрешений на объекте Active Directory, обратитесь к окну Advanced Security Settings для данного

объекта (см. рис. 9-2). Затем очистите опцию Allow Inheritable Permissions From The Parent To Propagate To This Object And All Child Objects (Разрешить наследованным разрешениям распространяться от родителя к этому объекту и всем дочерним объектам). После очистки этой опции вам будет представлена опция, позволяющая копировать существующие разрешения или удалять разрешения перед явным назначением новых разрешений (см. рис. 9-6).

Рис. 9-6. Выбор опции, позволяющей копировать или удалять разрешения при блокировании наследования разрешений

После блокировки наследования вы можете сконфигурировать разрешения на объектах. Блокировка наследования имеет несколько следствий.

  • Разрешения блокируются для объекта и любых дочерних объектов. Вы не можете блокировать наследование разрешений на контейнерном уровне, а затем повторно применять наследование от более высокого контейнера на более низкий уровень.
  • Если вы решите копировать разрешения перед модификацией, наследование разрешений начинается там, где вы блокируете разрешения. Если вы измените разрешения на более высоком уровне, разрешения не будут унаследованы в обход блокированных разрешений.
  • У вас нет большого выбора того, какие разрешения будут блокированы. Когда вы блокируете разрешения, то все наследованные разрешения также блокируются. Разрешения, которые были назначены на объект или дочерние объекты явно, не блокируются.

Примечание. Одна из возможных проблем с блокированием унаследованных разрешений состоит в том, что можно создать «осиротевший» объект, к которому никто не имеет разрешений. Например, в организационной единице OU можно блокировать все наследование разрешений к ней и назначить разрешения только для административной группы. Вы можете даже удалить группу Domain Admins из списка ACL этой OU, чтобы группа Domain Admins не имела никаких разрешений при нормальных обстоя-

тельствах, и в OU не будет групп с административным управлением. В этом случае группа Domain Admins всегда может взять объект в собственность и повторно назначить разрешения.




Начало  Назад  Вперед



Книжный магазин