我以前从未管理过 Active Directory。现在,我正在为一个拥有约 20 名员工的组织实施它。我已经使用 Samba 设置了 AD,到目前为止一切运行正常(PC 可以加入,我可以使用 RSAT 进行管理),但我对如何开始用户组及其层次结构有点困惑。
除了原始域管理员之外,有人可以详细说明创建组来容纳的步骤:
- 组织的所有者,需要拥有王国的钥匙,并且主要是负责添加用户帐户(在一切都实施并上线之后)
- 管理员(包括我)执行所有技术支持
- 以及任意部门 OU,我可以根据该部门将用户划分为营销、运营等
我相信创建上述用户和组并执行其 GPO 的示例将开始其余部分。提前致谢!
编辑
请原谅我夸大了我的无能,但实际上,几年前我实际上已经完成了 MCSE(或任何包含 AD 管理的课程)课程(没有认证),但由于我实际上没有使用任何 Windows 服务器,我已经忘记了如何在它们上创建、组织 OU 和实施 GPO。
我的问题旨在帮助我入门,现在我实际上已经完成 Samba 的配置并安装了 RSAT,它又回到了我的脑海中。
谢谢大家的帮助。
答案1
- 组织的所有者,需要拥有王国的钥匙,并且主要是负责添加用户帐户(在一切都实施并上线之后)
如果他只需要在 AD 上添加和管理用户/组,请使用委派授予他的帐户此权限(以及可能的其他权限)。请参阅实施 Active Directory 管理委派如果他确实需要“王国的钥匙”,则无需创建组,只需将他添加到域管理员内置组中即可。其他内置组(即帐户操作员)可能适合您的需求。
- 管理员(包括我)执行所有技术支持
再次强调,Domain Admins 组是最佳选择。如果您想要保护管理员帐户,请按照本指南
- 以及任意部门 OU,我可以根据该部门将用户划分为营销、运营等
您主要需要 AD 组来强制执行 GPO 和对共享文件夹的访问权限。您应该根据这些需求对用户进行分组。只需管理 20 个用户,我不会担心其他任何事情。尽可能保持精简,即仅在您确实需要它们时才创建部门 OU。
答案2
完整回答这个问题意味着要写一本书,所以我将推荐两本我读过的、我觉得很有帮助的书:
- Windows® 组策略资源工具包:由 Derek Melber 编写的 Windows Server® 2008 和 Windows Vista®。
- Windows Server 2008 Active Directory 资源工具包,作者:Stan Riemer(作者)、Conan Kezema(作者)、Mike Mulcare(作者)、Byron Wright(作者)。
这些书中有关 Active Directory 的内容在较新的操作系统上仍然有效,但显然有一些具体内容仅对 Windows 2008 有效。
我相信2008R2/Win7等都有更新的版本。