栏目导航: 首页 > 安全防御 > 电脑使用 > 内容

windows2003组织单位OU的委派控制

www.hx99.net    时间: 2013-10-13    阅读: 次     整理: 华西安全网

7.jpg我们知道把整个AD交给网络管理员一个人进行管理,工作繁琐而且效率很低,比如说一个部门新来了一个人,那他还要给这样的新来的每

个人进行登记、开户、归类,但是如果每个部门的主管有这样的网络管理的权利,他们就可以自己进行管理,如果把部门主管的帐号提升为

管理员,则又不太合适,因为这样的话,他的权限也就太大了,可以对整个公司的帐户进行管理。这时候我们用到了“委派控制”这一AD所特

有的功能。

如何通过AD组织单位(Organization Unit)委派控制,从而让公司的每个部门都可以自行管理自己部门中的用户账户。

 


1.jpg

操作步骤:
 

1 、创建OU和用户账户;
 

使用管理员账户登录DC,打开”Active Dircetory 用户和计算机”在域下创建一个名为”_DEMO” 的OU ,并在此OU中创建名为”manager”的用户;

2.jpg

2  、为部门经理账户委派管理用户账户的权限;

右击 ”_DEMO” OU 选择 “委派控制” 打开委派控制向导,下一步后添加要被委派权限的用户账户”manager”

3.jpg
 

下一步,再勾选需要委派给”manager”用户的具体权限

4.jpg
然后下一步,确认配置后完成,这样就为”manager”用户委派了管理创建和删除”_DEMO” OU中用户账户的权限。

3 为部门经理的PC安装管理工具。


一般工作站主机安装的都是XP系统,所以要让域用户登录在XP系统上,并且能够执行委派的权限,那XP系统是需要有“管理工具”这个功能

的。在下一篇博文中我们将谈到如何安装“管理工具”,当然去微软官网下载管理工具包也是可以的:


http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d

我们进行安装时要以域管理员身份登录,来为系统进行安装(后续文章中为大家介绍使用组策略分发的方式)

不过,还有另一种方法就是通过MMC微软管理控制台来供他们进行管理。我们通过MMC进而建立一个

更加简单、容易使用的“工作台”,被委派的用户就可以利用这个“工作台”进行更方便、直观的管理。
 4 分析委派的权限
 

a 显示高级功能

打开 ”Active Dircetory 用户和计算机” 中的高级功能(勾选下图所示部分)

5.jpg
b 查看被委派的权限:

右击”_DEMO”选择属性 中的安全选项卡,可以看到manager有特殊权限。

6.jpg
 

可以通过下图可以看出部门经理具有创建删除用户的权限

7.jpg

可以通过下图可以看出部门经理具有对此OU中所有用户对象的完全控制的权限

8.jpg

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭