proNovell

Уважаемые колеги!
В настоящее время админом сети являюсь я - объект .admin.ou..... и я же - как эквивалент, т.е две учетных записи, объединенных эквивалентированием. Работаю, естественно, через эквмвалента. Вскоре планируется расширение группы администраторов и эквиваленты становятся неприемлимы. Следует заводить объект Organizational Role и загонять туда админов.
Вопрос: какие минимальные права и на что необходимо дать этому объекту, что бы окупанты могли выполнять свои функции? (Предполагается - супервизор на root, но возможно вы подскажите и др. варианты.)
Спасибо.

Музалёв Николай писал(а):Уважаемые колеги!
В настоящее время админом сети являюсь я - объект .admin.ou..... и я же - как эквивалент, т.е две учетных записи, объединенных эквивалентированием. Работаю, естественно, через эквмвалента. Вскоре планируется расширение группы администраторов и эквиваленты становятся неприемлимы. Следует заводить объект Organizational Role и загонять туда админов.
Вопрос: какие минимальные права и на что необходимо дать этому объекту, что бы окупанты могли выполнять свои функции? (Предполагается - супервизор на root, но возможно вы подскажите и др. варианты.)
Спасибо.

Ну если уж на то пошло - определи какие задачи будут выполнять конкретные админы, кто то рулить деревом, кто то FS кто то заниматься юзверями ... В соответствии с этим и права дашь ... )
Если же все админы будут работать с теми жеполномочиями как и ты - смысл огород городить ?? Дашь эквив админа и всё ...

1. дал этой роли права на контейнеры в которых находятся управляемые пользователи
2. дал этой роли права на контейнеры в которых находятся серверы на которых есть управляемые файловые ресурсы

А вот на корень дерева я права рута не даю... тогда смысла нет разводить всю эту бодягу...

Собсно заводишь роли и даешь права ролям на Root или контейнер или на файловую систему конкретного сервера, тома либо каталога - но не на всё что можно, а только на конкретные свойствия. Какие именно - зависит от того какая роль для руления чем предназначена.

Ну и следи чтобы не поотрубать их где-нить IRF-ами. Или наоборот поотрубать - по потребностям.

Я бы не стал, кстати, заводить вторую учетную админскую запись через эквивалентирование прав. Чревато это... Снес (случайно, не случайно - другой вопрос) админа, ну и, соответственно, права для второй учетки прахом пойдут. Понятно, что пересоздать админа можно, благо практически у каждого есть эти NLM-чики Но... Для этого нужен доступ к консоли, а это не всегда возможно, да и попросту - wasting time, которого зачастую не хватает и так
Так что назначать права для второй учетки лучше ручками явно! )