Windows Server 2003 > 目录服务

委派 Active Directory 管理的最佳做法

简介

发布日期: 2004年11月22日

管理委派是 Active Directory 的一项重要功能,它提供了成功管理 Active Directory 环境的手段。本文档深入讨论了涉及委派管理职责的问题,可以帮助您规划、实现和维护一个管理委派模型。通过这个管理委派模型,可以对 Active Directory 进行安全而高效的管理。

*
本页内容
内容范围内容范围
目标读者目标读者

内容范围

本文档提供了创建、实现和维护一个对安全性敏感并且高效的委派模型来管理您的 Active Directory 环境所需的所有信息。这些信息包括:委派概述、委派基本原理的深入解释、Active Directory 中委派工作原理的技术说明、为服务管理和数据管理创建委派模型的过程、实现和维护这些模型所需的步骤,以及详细的案例分析。本文档的附录提供了详尽的参考,包括一个 Active Directory 管理任务的综合列表和在 Active Directory 中委派每个管理任务所需的相关权限。

本文档不包括 Active Directory 部署说明或建议。有关规划和部署 Active Directory 环境的信息,请参阅 Web 上位于 http://go.microsoft.com/fwlink/?LinkID=4719Designing and Deploying Directory and Security Services of the Microsoft® Windows® Server 2003 Deployment Kit(设计和部署 Microsoft® Windows® Server 2003 部署工具包的目录和安全服务)。

目标读者

本文档的目标读者是负责管理 Active Directory 环境的“信息技术”(IT) 专业人员。在大多数包含多个集成的组件和服务的 IT 结构中,交付特定组件或服务的职责通常会委托给组件或服务的所有者,该所有者负责组件或服务的全面交付。

Active Directory 环境的所有权应该委托给两个特定的所有者或所有者组 – 服务所有者数据所有者(他们的角色通常是战略性和管理性的)。服务所有者和数据所有者对于 Active Directory 负有全面的、最重要的职责。这些通常是高级别的管理者们会分别负责确保目录服务交付的可靠性和安全性以及负责管理 Active Directory 内容的安全性。为了达到这一目的,他们负责委派和分发他们的管理员职责以管理服务和内容。他们是通过创建管理委派模型来实现这一点的,管理委派模型记录了在各种管理人员中分发管理职责的情况。

委派 Active Directory 管理的管理职责分为:

服务所有者,他们负责:

Active Directory 结构的规划、部署和长期维护。

确保目录继续可靠地发挥作用并处于所需的安全级别。

确保坚持服务级别协议中确定的目标。

数据所有者,他们负责维护存储在 Active Directory 目录服务中或受 Active Directory 目录服务保护的信息,包括:

管理用户和计算机帐户。

管理本地资源,例如,成员服务器和工作站以及其中存储的数据。

服务管理员,他们代表服务所有者的操作臂,负责执行维护目录服务交付所需的任务。

数据管理员,他们代表数据所有者的操作臂,负责执行管理存储在 Active Directory 中或受 Active Directory 保护的内容所需的任务。

本文档是为服务所有者和数据所有者准备的,目的是帮助他们创建一个根据其组织特定要求量身定制的对安全性敏感而高效的管理委派模型。本文档的目标读者还包括负责实现该委派模型的服务管理员和数据管理员。

为了满足这些不同责任承担者的需要,本文档中的信息分为四章和一个案例分析,如下所示:

第 1 章:了解管理委派

本章概述了 Active Directory 管理类别和责任承担者,并介绍了在 Active Directory 中对管理委派进行成功管理的途径。本章是针对所有涉及 Active Directory 管理的责任承担者编写的。

第 2 章:Active Directory 中委派的工作原理

本章深入探讨了 Active Directory 中管理委派实际是如何工作的,并介绍了涉及管理委派的所有技术方面。它包含了大量的信息,这些信息对涉及 Active Directory 管理的所有责任承担者会很有用。

第 3 章:委派服务管理

本章从端到端的角度描述了 Active Directory 服务管理,并且针对如何创建、实现和维护安全而有效的管理委派模型以进行服务管理提供了指导。本章针对于“服务所有者”和“服务管理员”。

第 4 章:委派数据管理

本章从端到端的视角描述了 Active Directory 数据管理,并且针对如何创建、实现和维护安全而有效的管理委派模型以进行数据管理提供了指导。虽然本章针对于“数据所有者”和“数据管理员”,但“服务所有者”和“服务管理员”也将会从本章的信息中获益。

案例分析:委派方案

案例分析基于第 3 章和第 4 章提供的建议,遍历了为一个虚构的 Active Directory 环境创建、实现和维护管理委派模型的过程。虽然它主要针对于服务管理员和数据管理员,但服务所有者和数据所有者也会从该案例分析中获益。


返回页首返回页首第 1 页,共 6 页下一页
**
**
**
下载
下载AD_Delegation.doc
2471 KB
Microsoft Word 文件
**