Kỹ thuật phân quyền quản trị Window
Ngu
ồn : quantrimang.com 
Derek Melber
Ngày nay Group Policy đang trở nên quan trọng hơn và có nhiều tùy chọn
phân quyền. Tìm hiểu được vị trí để thiết lập các phân quyền cũng như
cách phân quyền các nhiệm vụ nhất định có thể giúp đỡ bạn thiết lập một
mạng an toàn và hiệu quả hơn.

Kể từ khi Microsoft đưa ra bản Windows 2000 thì tùy chọn phân quyền các
nhiệm vụ nhất định luôn được thiế
t lập sẵn. Định nghĩa phân quyền có thể hơi
rắc rối, nhưng những gì phân quyền cung cấp lại rất quan trọng để tăng hiệu quả
mạng. Không sử dụng phân quyền, bạn có khả năng bị mắc kẹt chỉ với những
nhóm mặc định cho phép đặc quyền quản trị qua nhiều nhiệm vụ và đối tượng
nhất định. Chẳng hạn, khi không có phân quy
ền đối với tài khoản người dùng và
tài khoản nhóm thì người dùng phải được đặt trong nhóm Account Operator có
khả năng chỉ quản lý người dùng, nhóm và các máy tính trong phạm vi nhất định.
Tất nhiên, người dùng cũng có thể được đặt trong nhóm Domain Admins hay
nhóm Enterprise Admins nhưng điều này cho phép người dùng có quá nhiều đặc
quyền so với việc chỉ quản lý tài khoản. Trong một số trường hợp tương tự, đặt
người dùng trong nhóm Account Operator cũng cho phép họ có các đặc quy
ền
như sửa đổi không chỉ tại khoản của họ mà còn có thể sửa tài khoản của các
quản trị viên. Giải quyết vấn đề này bằng cách cho phép phân quyền tới các đối
tượng và nhiệm vụ khắp hệ thống.

Phân tích phân quyền

Nếu bạn muốn mạng được quản trị hiệu quả hơn bằng cách thực hiện phân

tính, đơn vị tổ chức hay đối tượng Group policy.

Một trong số nhiều khái niệ
m quan trọng nhất là biết được vị trí cấu hình phân
quyền. Có 3 công cụ chính thực hiện điều này. Chúng tôi sẽ phân tích kỹ 3 công
cụ này sau.

Cuối cùng, khi kích hoạt công cụ và muốn phân quyền, bạn cần biết những "lựa
chọn và hộp thoại" nào sẽ thực hiện mục đích của bạn. Một số phân quyền khá
dễ dàng, nhưng một số khác lại yêu cầu bạn thực hiện mộ
t số kiểm tra và đánh
giá trước khi có thể đảm bảo phân quyền.

Active Directory người dùng và máy tính (ADUC)

Active Directory có một thành phần phân quyền đầy đủ và toàn diện. Nếu bạn
đang không sử dụng phân quyền trong AD thì đã bỏ lỡ một trong những lý do
quan trọng khi sử dụng AD. Phân quyền bên trong AD cho phép quản trị viên
cấu hình các nhóm người dùng truy cập vào những nhiệm vụ nhất định. Lợi ích
của điều này là các nhiệm vụ
rất chi tiết và giảm điều khiển quản trị được hạn
chế đối với các nhiệm vụ được thừa nhận với nhóm người dùng.

Chìa khóa để hiểu phân quyền trong AD là nắm được các khả năng của nó.
Microsoft thêm một số tùy chọn trong bản Server 2003, nhưng vẫn còn có một số
tùy chọn bị giới hạn điều khiển phân quyền quản trị. Dưới đây danh sách các
đối
tượng chính cấu hình với các điều khiển phân quyền:
•
Tài khoản người dùng.

này. Tôi muốnCó một đ
iều rõ ràng rằng GPMC chỉ cung cấp phân quyền quản lý
GPO, không phải các phân quyền quản lý AD khác. Vì thế, bất cứ cái gì tương
tự kiểm soát OU, người dùng, nhóm… phải được thực hiện trong ADUC.

Đối với các phân quyền với GPMC bạn có các tùy chọn sau:
•
Tạo các GPO
•
Sửa các GPO
•
Xóa và quản lý bảo mật các GPO
•
Liên kết các GPO
•
Đọc các thiết lập GPO
Một số phân quyền hiển thị trong hình 2.

Hình 2: Phân quyền GPMC điều khiển và quản lý GPO
Một khi sự tạo thành các GPO được thực hiện cho "miền", không có cơ chế nào
kiểm soát một OU. Tuy nhiên, bạn có thể uỷ quyền cho người có thể liên kết
GPO với OU, đem lại cho bạn các điều khiển nhiệm vụ như khi bạn muốn được
uỷ quyền tại m
ức cao hơn. Liên kết các GPO được phân quyền tại miền, OU,
hay các trang. Quá trình chỉnh sửa, quản lý, xóa và đọc GPO được phân quyền
tại mỗi GPO giúp bạn dễ dàng điều khiển chúng.

Quản lý chính sách nhóm cao cấp (AGPM)

Mô hình phân quyền AD và GPO cuối cùng là AGPM. Công cụ này cung cấp