深入解析Windows Server 2003 Active Directory管理与部署
1. 行政责任委派策略规划
在管理Windows Server 2003域时,组织单位(OU)是一个非常有用的工具,其主要优点之一是允许管理员委派对域对象特定部分的控制权。这与之前对Active Directory站点的控制委派概念上类似,每个组织单位都有一个访问控制列表(ACL),用于控制谁可以执行什么操作。
要确保“安全”选项卡可用,需点击“视图”菜单,选择“高级功能”来开启高级特性。需要注意的是,一些默认容器(如“用户”和“内置”文件夹)不是组织单位,不能对其委派控制。若要委派控制,可寻找Active Directory图标。
通过编辑访问控制列表的内容,可以委派对用户的控制权。点击“高级”按钮,能访问各个访问控制条目(ACE),利用这些ACE可以精确指定授予的控制类型。例如,可赋予单个用户更改用户账户密码的权限,而无其他管理权限。操作步骤如下:
1. 点击用户访问控制权限条目的“编辑”。
2. 在弹出的“权限条目”对话框中进行设置(可能需要先将用户或组添加到ACE列表)。
这里也能更清晰地看出安全组和组织单位的区别。组织单位是一个管理实体,我们对OU委派管理控制,而将控制权委派给安全组中的用户,且控制范围涵盖OU内的用户、计算机、组、打印机等对象。
此外,还可以使用“控制委派向导”将管理任务委派给用户。该向导界面简化了手动编辑ACL的过程,最终结果相同。不过,对组织单位的控制委派可能包含更多步骤和不同任务,例如可以使用向导轻松委派在OU中创建用户账户的责任。
在规划组织单位结构时,需要考虑组织的结构。可
