Active Directory安全权限委派与DNS管理指南
1. Active Directory权限委派
在某些情况下,默认组可能不够细化,或者无法满足特定需求,这时就需要考虑直接进行权限委派。下面通过几个具体的任务来介绍如何在Active Directory中进行权限委派。
1.1 任务分析
使用默认组可以为执行以下任务分配权限:
- 重置组织单位(OU)中所有用户的密码。
- 管理单个OU中的用户账户。
- 控制一个或多个组的成员资格。
然而,如果要在不授予过多权限的情况下执行这些任务,答案是否定的,因为这会违反最小权限原则。这是因为用户可能会在整个域中行使权限,而不仅仅是在目标OU中。
1.2 权限委派步骤
以委派管理OU中用户账户的权限为例,步骤如下:
1. 打开Active Directory用户和计算机(ADUC)。
2. 导航到目标OU。
3. 选择该OU并右键单击。
4. 选择“委派控制…”。
5. 打开“控制委派向导”。
6. 点击“下一步”跳过开场屏幕。
7. 点击“添加”以显示“选择用户、计算机或组”对话框。
8. 选择组(或用户)。
9. 点击“确定”。
10. 在“控制委派向导”中点击“下一步”。
11. 选择“创建、删除和管理用户账户”。
12. 点击“下一步”。
13. 查看摘要信息。
14. 若需要修改委派,可以点击“上一步”返回上一个屏幕;点击“下一步”返回最终屏幕。
15. 点击“完成”。
