Делегируемое администрирование

Управление жизненным циклом идентификатора включает в себя делегирование возможности управления некоторыми аспектами цифровых удостоверений, хранящихся в Active Directory. Это достигается использованием встроенных в Active Directory средств управления доступом с помощью выбора требуемых интерфейсов. Если у схемы имеется должным образом настроенная политика авторизации для списков управления доступом к объектам Active Directory (ACL), с помощью оснастки консоли управления Microsoft (MMC) можно осуществить делегирование управления любым объектом Active Directory, включая учетные записи пользователей, которые представляют цифровые удостоверения.

Второй распространенный подход к выбору интерфейса управления — создание веб-приложения, интегрированного с Active Directory, для возможности управления учетными записями и атрибутами. Партнеры корпорации Майкрософт, специализирующиеся на управлении доступом, обычно включают такую функциональность в свои программные продукты.

Дополнительные сведения о делегировании возможностей администрирования Active Directory см. на веб-узле Microsoft TechNet в документе Design Considerations for Delegation of Administration in Active Directory (на английском языке).

К началу страницы

Самообслуживание

Наличие возможности обычным пользователям управлять некоторыми своими атрибутами учетных данных является ключевым фактором в снижении издержек по управлению идентификаторами. Продукты Microsoft поддерживают такую возможность косвенно посредством детальной авторизации на уровне атрибутов Active Directory. Многие клиенты корпорации Майкрософт с помощью Visual Studio.NET разработали свои собственные интерфейсы, как правило, веб-страницы, для изменения пользователями своих атрибутов. Для тех клиентов, которые хотят приобрести существующий программный продукт, партнеры корпорации Майкрософт предлагают несложные в использовании веб-интерфейсы для пользователей с целью управления некоторыми своими атрибутами.

К началу страницы

Управление учетными данными

Различные механизмы проверки подлинности часто используют различные учетные данные (такие как сертификаты x.509, пароли протокола аутентификации Kerberos и пароли службы Microsoft Passport), поэтому в любой платформе, которая поддерживает несколько механизмов проверки подлинности, должны быть средства для пользователей по управлению различными типами своих учетных данных. В Windows данная функция называется диспетчером учетных данных Windows.

Диспетчер учетных данных Windows предоставляет конечным пользователям возможность кэшировать учетные данные и связывать их с определенными местами. Например, можно использовать различные учетные записи службы Microsoft Passport на различных веб-узлах и настроить использование различных сертификатов соответствующими веб-приложениями.

Управление паролями

Многие среды состоят из систем и приложений, которые не могут быть непосредственно интегрированы с возможностями системы безопасности Windows Server 2003 и Active Directory. Данные системы обычно основаны на различных протоколах проверки подлинности или используют отдельное хранилище идентификаторов.

Однако большинство таких систем использует для проверки подлинности пароли. Представляется возможным упростить работу пользователей (хотя, возможно, и за счет увеличения возможностей для атак) посредством предоставления и синхронизации учетных записей и управления учетными данными (паролями), используемыми для регистрации в Active Directory, с учетными записями и паролями, используемыми в других системах. Корпорация Майкрософт предлагает следующие продукты для управления паролями.

· MIIS 2003 SP1. Данный продукт обеспечивает распространение паролей в связанных каталогах посредством интерфейса инструментария управления Windows (WMI). Интерфейс WMI используется предварительно созданными веб-страницами для изменения и сброса пароля с уведомлением MIIS либо собственным решением, которое использует другие возможности Windows, например фильтр уведомления о смене пароля, упомянутый в последнем пункте данного списка.

· Службы для UNIX. Данное средство осуществляет распространение паролей между Active Directory и платформами UNIX.

· Службы для NetWare. Данное средство осуществляет распространение паролей между Active Directory и NetWare.

· Host Integration Server (HIS). Данное средство осуществляет синхронизацию паролей между Active Directory и различными хост-системами.

· Пользовательские фильтры уведомления о смене пароля Active Directory. В наборе разработчика программного обеспечения для платформы Windows (пакет SDK) и в документе данной серии «Управление паролями» содержится информация о создании собственного фильтра уведомления о смене пароля для реализации улучшенных служб управления паролями.

С помощью сервера MIIS 2003 SP1 можно осуществлять управление учетными записями и паролями на других системах, в частности на других системах каталогов и базах данных идентификаторов. Данный продукт поставляется с соединителями для большинства распространенных каталогов и баз данных, что упрощает развертывание механизма управления паролями. Сервер MIIS 2003 SP1 поддерживает следующие способы управления паролями.