Active Diretory 全攻略 组织单位与委派控制.doc

Active Diretory 全攻略（七）--组织单位与委派控制 组织单位就是一个比域还小的管理单位，能够发挥“分层自治，授权自治”的优点。 　　组织单位有以下特性： 　　1、组织单位是一种容器：它可以包含9种对象：用户、计算机、组、打印机、共享文件夹、联系人、组织单位、INETORGPERSON、MSMQ路由别名。但要注意，组织单位只能包含同一域内的对象，不能够包含其它域的对象。 　　2、组织单位可以组成层次化结构。 　　3、使用组织单位的电时机：通常是为了授权管理而建立组织单位。例如：业务部门的人事变动较频繁，因此常常要求系统管理员为他们删除、更改和建立帐户。于是系统管理员便建立“业务部”这个组织单位，将业务部的全部用户与计算机都隶属于该组织单位，并赋予业务部经理新建、删除、与修改用户帐户和计算机帐户的权力。以后该部门的帐户变动就不用麻烦系统管理员了，因此，“建立组织单位”和“授权”可说是非常密切的关系。 　　4、组织单位与组的差异：1、一个用户可以可以隶属于多个组，但是只能够隶属于一个组织单位。2、组织单位可以包含组，但是组内不能够包含组织单位。3、对网络资源设置权限时，可以设给组，但是不能够设给组织单位。 　　下面来看规划组织单位 　　1依地理区域划分。 　　2、依管理区域划分 　　3、依事业单位划分 　　4、依专案内容划分 　　5、依部门组织划分 　　6、依对象类型划分 　　7、混合式划分 　　下面来看管理组织单位 　　新建组织单位 　　右击-新建。 　　填写名称 　　已建立好。 　　来看移动组织单位，点人事处这个组织单位，将移到总管理处。 　　已移入总管理处。 　　重新命名，点右键-重命名。 　　下面来看管理组织单位的成员 　　新建用户 　　这里以下的操作之前都详细做过，在这里就不做下去了。 　　下面来看新建计算机 ? 这里建名为MING的计算机 　　下一步 　　完成。 　　下面来移动组织单位的成员 　　将这个帐户移动总管理处 　　右击移动。 　　便可以看到结果了。 　　下面来看委派控制 　　委派范围：在AD中可以委派控制的范围是站点、域、和组织单位合称为：SDOU 　　从管理层面来看，不同的委派范围涉及不同的性质工作。例如：站点上最主要工作就是新建、删除站点、网站连接、子网络等项目。组织单位上最常见的工作，通常是新建、删除用户和计算机帐户、重设密码与应用组策略等。所以说，委派的范围有两重意义，第一，它界定了管辖权的范围，就是说被委派的对象只允许在此范围内行使管理权，第二，它提示了不同性质的工作属性，我们应当针对不同的范围委派的工作。 　委派对象：在从多AD对象中只有用户、计算机和组可以作为委派控制的对象，此外，该对象不必和授权范围有任何隶属关系。例如：可以将A组织单位委派给B组织单位的成员管理，甚至可以委派给其它域的用户管理。 　　委派内容：假设李小龙在总管理处对打印机有完全控制能力 　　右击 　　下一步 　　按添加 　　确定 　　下一步 　　下一步 　　下一步 　　完成 　　下面来看委派控制的本质 　　委派控制其实就是修改AD对象中的ACL，使委派的对象具有相符的权限。 　　查看高级功能 　　在总管理处执行-属性。验证委派的ACL。 　　选高级，显示委派工作的内容。 　　委派控制向导有一个缺点：只能够用来建立委派工作，但是无法删除或更改委派工作，如果要取消或更改授权的人选或者工作属性，则必须直接修改该对象的ACL。执行总管理处右击，切换到安全，再按编辑就可以修改委派的权限。 ? Active Diretory 全攻略（八）--组策略（1） 组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。 　　一、组策略的基本概念 　　1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。 　　2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 　　3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU） 　　4、组策略不适用于WINDOWS9X/NT的计算机，所以应用到这些计算机上无效。 　　5、组策略不会影响未加入域的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。 　　GPO的特性： 　　组策略的设置数据都是保存在“组策略对象“（GPO）中，GPO具有以下特性：