Mat*_*nar 6 windows-server-2003 active-directory
我必须向 Windows Server 2003 Active Directory 中的某个用户授予一些权限,该用户仅对特定用户集合有效。最初的想法是只拥有一个 OU,我们将允许此特定用户具有某些权限(用户创建、密码重置、将用户添加到组等)。但是,在进一步阅读后,我不确定是否需要 OU,而且我真的不确定何时需要 OU。这让我很烦恼,我真的很想在使用或不使用它们之前更好地了解 OU 的目的。
我在网上搜索了很多,结果从模糊的“使用组织单位来组织 AD”到有些具体的“如果完全独立的组需要对一部分用户的特殊管理访问权限,则将 OU 添加到域”。在这一点上,后者听起来最合适。从技术上讲,您只能在 OU 上使用控制委派向导。但是,我认为没有什么可以阻止我手动将权限单独分配给域组并有效地拥有相同的东西。我在这里缺少什么?谢谢。
OU 用于组织 Active Directory 中的对象。一个典型的例子如下:
myDomain.loc
??Users
??Servers
? ?Domain Controllers
? ?Member Servers
??Workstations
?New York
?London
?Brisbane
这使得在视觉上区分域中的对象变得更容易,而不必依赖于记忆或四处挖掘。使用此结构,您还可以将策略应用于特定容器。您可以将常规 Internet Explorer 策略应用于工作站 OU,以便它应用于该树中的所有子对象。然后,您可以为子 OU 设置特定的 Internet Explorer 设置(例如,为伦敦工作站设置 IE 主页的不同策略,而不是为纽约工作站设置不同的主页等)
在您的特定示例中,您似乎希望将 AD 控制权委托给一组用户。在这种情况下,正确的方法是创建一个新的安全组并使所有目标用户成为该组的成员。然后,您将打开 AD 用户和计算机,右键单击您希望用户/组控制的 OU,然后选择委派控制。
现在...如果您正确组织您的广告,您可以对您希望该组用户控制的内容进行精细控制。例如,您可以创建一个名为 NewYork-Admins 的组,并将该组的控制委托给纽约工作站,而不是所有工作站。
此类委派的理想 AD 结构是与以下类似的结构:
myDomain.loc
??Domain Controllers
??Special Users
??Locations
??New York
? ??Users
? ??Workstations
? ??Servers
? ??Contacts
? ??Servers
? ??Groups
??London
? ??Users
? ??Workstations
? ??Servers
? ??Contacts
? ??Servers
? ??Groups
??Brisbane
??Users
??Workstations
??Servers
??Contacts
??Servers
??Groups
这允许您以非常精细的方式将控制委托给 AD 对象。
一般来说,OU 用于:
保持事物清洁和结构化。您的用户远离组,您的组远离计算机,站点 A 中的对象远离站点 B 中的对象,等等。
控制权委托。仅当您具有多个访问级别或多个站点且每个站点都有不同的管理员时才真正需要。即便如此,我还是会提前计划并做好准备以实现它。
集团政策。并非完全必要,因为策略应用程序可以通过权限或 WMI 过滤器进行管理,但无论如何,了解用户是否在 OU X 中,他们将获得策略 Y 是有帮助的。
请注意,在上面,您无法将 GPO 应用于容器,因此,如果您不创建 OU,则必须将所有 GPO 设置在顶级(域)级别,并使用 WMI 或安全性对其进行过滤。对于您和其他人来说,仅使用 OU会更容易,除非您遇到使用 OU 模型无法完成(或可以完成但很混乱)您想要/需要的特定策略的情况。
除了最后两点中明显的技术要求之外,我认为保持事物干净整洁就足够了。例如,从 100 个列表中找到您想要的对象比从 1500 个列表中找到它更容易。它还将您创建的对象(主要是用户、计算机和组)与内置对象分开,这有助于防止发生严重事故(“好吧,谁删除了管理员帐户?”)。