Настройка консолей MMC для определенных групп

С помощью параметров консоли MMC можно создавать ограниченную оснастку, такую как Active Directory — пользователи и компьютеры. Это позволяет администраторам управлять параметрами, доступными для групп, которым необходимо делегировать административные задачи, и таким образом ограничивать доступ к операциям и областям в данной настроенной консоли.

Например, право на управление принтерами было делегировано группе операторов печати в подразделении «Производство». Для упрощения администрирования можно создать специальную консоль для использования группой операторов печати, содержащую только подразделение «Производство», и ограничить область консоли с помощью режимов консоли.

Дополнительные сведения о настройке консоли и использовании режимов консоли см. в разделе Использование настраиваемых консолей и Режимы доступа консоли.

Для уточнения данного типа делегирования также используются параметры групповой политики, доступные для MMC. Данные параметры позволяют администратору установить, какие оснастки MMC могут быть запущены определенным пользователем. Эти параметры могут как разрешать, так и запрещать запуск тех или иных оснасток.

Дополнительные сведения о параметрах групповой политики для MMC см. в разделе Настройка групповой политики в MMC.

Использование групповой политики для публикации и назначения специальных консолей

С помощью групповой политики можно передавать специальную консоль определенным группам с использованием одного из двух режимов: публикации или назначения. Публикация специальной консоли оповещает о консоли членов группы, определенной в параметрах групповой политики, путем добавления консоли в список доступных программ в окне «Установка и удаление программ». При следующем открытии окна «Установка и удаление программ» члены группы получат возможность установить новую консоль. Назначение консоли (в отличие от публикации) принудительно устанавливает консоль для всех указанных учетных записей.

Для публикации или назначения консоли следует создать либо изменить объект «Групповая политика» и применить его к соответствующей группе пользователей. Затем следует использовать расширение установки программ для оснастки групповой политики для публикации или назначения консоли.

Дополнительные сведения см. в разделе Групповая политика (до консоли управления групповой политикой).

Внимание!

  • Консоль должна быть упакована, прежде чем будет использована оснастка «Установка программ». Для упаковки настроенной консоли можно использовать инструмент «Установщик Windows». После этого можно настроить оснастку «Установка программ» для публикации или назначения созданной упакованной программы. Дополнительные сведения об упаковке программы см. в разделе Использование пакетов Windows Deployment Kit и Windows Resource Kit.
  • Если специальная подлежащая упаковке консоль использует оснастку, не установленную на конечной рабочей станции или сервере для опубликованного или назначенного пользователя, необходимо включить в создаваемый пакет файл оснастки и регистрацию файла. Можно создать отдельный пакет, содержащий оснастку или добавить оснастку в процессе создания пакета специальной консоли, в этом случае она будет устанавливаться на компьютер должным образом при каждой установке пакета пользователем.

Примечание



  • Если пользователь вошел в систему в момент применения объекта групповой политики к его учетной записи, он не увидит опубликованной или назначенной консоли до тех пор, пока повторно не войдет в систему.

Дополнительные сведения о других вопросах об Active Directory см. в разделе Общие сведения о безопасности.

Публикация ресурсов

Публикация ресурсов

Чтобы помочь пользователям найти требуемые сетевые ресурсы, можно публиковать доступные для поиска сведения об этих ресурсах в Active Directory. Доступные для публикации ресурсы включают пользователей, компьютеры, принтеры, общие папки и сетевые службы. Некоторые общие данные каталога, как, например, имена пользователя и компьютера, публикуются по умолчанию после создания объектов. Другие данные каталога, как, например, сведения об общих папках, должны быть опубликованы вручную. Сведения о поиске в каталоге см. в разделе Поиск данных каталога.

Используя разрешения контроля доступа, можно отслеживать, какие пользователи и группы могут искать и просматривать опубликованные данные. Разрешения контроля доступа предоставляют расширенный контроль над данными каталога, как на уровне ресурсов, так и на уровне свойств. Например, можно использовать разрешения для того, чтобы запретить конкретной группе просмотр любых пользовательских данных, опубликованных в каталоге. Можно также использовать разрешения, чтобы позволить этой группе просматривать только имена пользователей. Общие сведения о разрешениях см. в разделе Общие сведения об управлении доступом. Сведения о назначении разрешений объектам и свойствам Active Directory см. в разделе Назначение, изменение или удаление разрешений на объекты Active Directory или атрибуты.



Наши рекомендации