学习内容:
1. 对某OU进行授权(简单了解)
2. 域本地组 & 安全组的区别
3. 验证授权
3.1 Win7 中安装AD 管理工具
3.2 验证授权
4. 查看已委派的授权 & 取消委派授权
5. 测试已关闭普通用户将计算机加入域条件下,授予普通用户可将计算机加入域权限是否仍然适用。
当域管理人员平时工作较忙时,可将域管理的一部分工作下放到IT本地管理员或其他用户身上。
例如:允许授权人员添加/修改/删除域用户账户;允许授权人员解锁被锁账户及修改密码等;
1. 对HK OU进行授权
1) 首先先创建一个组,用于集中存放HK 的OU委派用户,注意组作用域需要选择“全局”(因可能其他地区人员仍有可能被赋予HK OU的管理权限,所以将HK 的用户集中放在这个组中)
2)再创建一个组,用于将所有有权限管理HK OU的用户或组集中加入到这个组中。注意要设置为本地域组。(下面将说明本地域组和全局组的区别)
3) 将HK 用户加入到HK_SD组中,将HK_SD组加入到HK_OU_admin 组中。
4) 右键点击 -- 委派控制
5) 指派HK_OU_admin 组有权限授权
6)委派任务分为很多种,这里先不详细研究。
先选择创建/删除和管理用户账户 和 重置用户密码这两项。
下图为自定义委派任务,更加详细了。
之后确认委派的信息,确定就可以了。
2. 域本地组 & 安全组的区别
域本地组:代表的是对某个资源的访问权限。(当涉及到给该组授权时,使用域本地组)
全局组: 根据用户的职责和身份合并用户。(单纯用于集中用户)
AGDLP 策略
A == 用户账户, G == 全局组 , DL == 本地域组 , P == 权限
A --》G --》 DL --》 P 策略
当想为某个组赋予权限时,首先将这些用户集中在不同的全局组中(A --》G),然后将这些全局组加入到一个本地域组中(G --》DL),最后将本地域组加入到相应的权限管理组中。
3. 验证授权
3.1 安装Win7 AD远程管理工具
通过下面的链接下载Win7 AD 远程管理工具
http://www.microsoft.com/zh-cn/download/details.aspx?id=7887
此工具为微软的补丁,需要使用管理员权限安装。
安装完成后,控制面板 -- 程序 -- 打开或关闭Windows 功能
找到远程服务管理工具 -- AD DS 和 AD LDS工具,全部勾选上
3. 打开任务栏和开始菜单属性 -- 开始菜单 -- 自定义 -- 勾选上系统管理工具“在所有程序菜单和开始菜单上显示”
4. 之后便可在管理工具中看到AD 管理工具
3.2 验证授权
可看到Chris Lee 账户可以在HK OU上创建用户,但不能在DL OU上创建用户
4. 查看已委派的授权 & 取消委派权限
1)查看 -- 高级功能
2)点击想查看委派权限的OU,右键属性
3)安全 -- 高级
4)列表中为所有对HK OU具有权限管理的列表(有高级权限的账户可在此处管理添加或删除权限)
5. 测试已关闭普通用户将计算机加入域条件下,授予普通用户可将计算机加入域权限是否仍然适用
首先确认已关闭普通用户将计算机加入域
使用普通用户lisi来测试
可见普通用户已无法将计算机加入域
在DC上为普通用户lisi 授权 注意一定要选择域(xin.adsint.biz)右键 -- 委派控制
选择lisi
勾选将计算机加入域
再次尝试用lisi账户加域
成功
