我的 IT 环境正在扩大,我想将域管理员控制权委托给特定的 OU。这样,在每个站点,该位置的管理员只能在其站点特定的 OU 中进行更改。
在我当前的环境中,我的 AD 仍然处于 2003 年。
我该如何设置?在 2003 AD 中可以实现吗?
答案1
是的,在 W2K3 中这是可能的。
为每组管理用户创建一个安全组。
将适当的用户添加到每个组。
在 ADUC 中,右键单击相应的 OU,然后从上下文菜单中选择“委派控制”。
添加适当的组来管理该 OU 及其对象。
选择委派常见任务或创建自定义任务的选项。
选择您希望该组能够在该 OU 中执行的任务。
答案2
是的,这在 Active Directory 中是可能的,并且您可以通过使用管理委派功能来满足此需求,从而根据对受委派者的最少访问原则轻松地委派特定任务。
例如,您可以委派创建用户帐户、删除用户帐户、重置用户帐户密码、解锁用户帐户等任务。
有两种方法可以委派这些任务。您可以使用委派向导来委派任务,或者如果您是高级用户,您可以直接授予委派您感兴趣的任务所需的最低权限集。
对于上述每一项,您都需要启动 ADUC,导航到您感兴趣的 OU,然后使用委派向导(可通过右键单击访问)或使用可从“安全”选项卡访问的 ACL 编辑器,而“安全”选项卡又可通过右键单击对象并选择“属性”来访问。(请注意,为了查看“安全”选项卡,必须在 ADUC 中启用“高级功能”。)
如果有帮助的话,可以找到 Active Directory 中最常委派的 20 个任务列表,以及委派这些任务所需的权限列表这里。