关于控制委派向导使用方法的分步指南
本分步指南详细介绍了在 Windows Server 2003 Active Directory 服务容器中委派对象管理所需的步骤。通过委派管理,您可以将各种管理任务委派给相应的用户和组。
本页内容
 | 简介 |
| 概述 |
| 使用控制委派向导 |
| 其他资源 |
简介
逐步式指南
Windows Server 2003 部署分步指南提供了许多用于常见的操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构:安装 Windows Server 2003;配置 Active Directory;安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则在使用这些指南时需要进行适当的修改。
通用网络结构要求完成以下指南。
| • | |
| • |
在配置完通用网络结构后,就可以使用任何其他分步指南了。注意,某些分步指南除需要有通用网络结构外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。
Microsoft Virtual PC
可以在物理实验室环境中或通过虚拟化技术(如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005)来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。
Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不需修改就可以应用于虚拟环境。
这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。
重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,我们决无意影射,任何人也不应由此臆猜,任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名系统 (DNS) 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。
此通用基础结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置时都可以使用的模型。
概述
本分步指南详细介绍了在 Windows Server 2003 Active Directory 服务容器中委派对象管理所需的步骤。通过委派管理,您可以将各种管理任务委派给相应的用户和组。您可以将基本管理任务指派给一般用户或组,而将全域性和全林性管理留给 Domain Admins 和 Enterprise Admins 组成员。通过委派管理,您可以使组织内部的组对其本地网络资源拥有更多的控制权。您还可以通过限制管理员组的成员人数,来帮助保护网络以使其免受意外或恶意的破坏。
可以使用以下方法将管理控制委派给任何级别的域树:在域中创建组织单位 (OU) 并将特定 OU 的管理控制委派给特定用户或组。
Active Directory 定义特定的权限和用户权利,您可以使用它们来委派或限制管理控制。通过使用 OU、组和权限组合,您可以为特定人员定义最合适的管理作用域,它可以是整个域、域中的所有 OU 或者单个 OU。
通过使用控制委派向导或“授权管理器”控制台,您可以将管理控制指派给某个用户或组。这两种工具都允许您为特定用户或组指派权利或权限。
本文提供了在“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元中使用委派控制向导的三个委派示例。它们包括:
| • | 委派对 OU 的完全控制。 |
| • | 委派 OU 内用户的创建和删除。 |
| • | 委派 OU 内所有用户密码的重设。 |
先决条件
| • | |
| • |
指南要求
要执行这些过程,您必须是 Active Directory 中 Domain Admins 或 Enterprise Admins 组的成员,或者必须为您委派了适当的权限。除了要实施通用结构外,您还必须完成下列步骤。
| • | 在 Contoso 域中添加一个名为“Divisions”的新 OU。 |
| • | 在“Divisions”中添加三个新 OU:“Operations”、“Autonomous Unit”和“Product Group”。 |
| • | 在“Operations”中添加一个新的安全组,并将该组命名为“HelpDesk”。 |
| • | 在“Autonomous Unit”中添加一个新的安全组,并将该组命名为“AUAdmins”。 |
| • | 在“Product Group”中添加一个新的安全组,并将该组命名为“HRTeam”。 |
使用控制委派向导
本节说明的是许多大型组织都要完成的一项任务,即向其他管理员组委派对某个 OU 的完全控制,从而划分了对目录名称空间的控制权。
委派对组织单元的控制
要委派对 OU 的控制,请按照以下步骤操作:
1. | 在“HQ-CON-DC-01”上,打开“Active Directory 用户和计算机”。其结构应类似于图 1。 |
2. | 在左窗格中,右键单击“Divisions”OU,然后单击“委派控制”。此时将出现“委派控制向导”。 |
3. | 在“欢迎”页上,单击“下一步”。 |
4. | 在“用户和组”页上,依次单击“添加”、“高级”和“立即查找”。滚动到“AUAdmins”,双击“AUAdmins”,然后单击“确定”。单击“下一步”继续。 |
5. | 在“要委派的任务”页上,单击“创建自定义任务去委派”。(这允许您委派对整个容器的控制。)单击“下一步”。 |
6. | 在“Active Directory 对象类型选择”页上,单击“这个文件夹,这个文件夹中的对象,以及创建在这个文件夹中的新对象”(默认),然后单击“下一步”。 |
7. | 在“权限”页上,单击“完全控制”来委派完全控制。单击“下一步”,然后单击“完成”。 |
验证授予的权限
您可以检查“AUAdmins”组的访问控制设置,验证是否已相应地设置了这些权限。
要验证授予的权限,请按照以下步骤操作:
1. | 在“Active Directory 用户和计算机”管理单元中,单击“查看”菜单上的“高级功能”。 |
2. | 浏览到“Divisions”OU 下面的“Autonomous Unit”并右键单击,然后单击“属性”。 |
3. | 在“安全”选项卡上,单击“高级”。在“权限”选项卡上,请注意应用于“AUAdmins”的权限项目(如图 2 所示)。  图 2. 验证 AUAdmins 的权限 |
4. | 双击“AUAdmins”。已将完全控制授予该 OU 及其所有子对象,表明正确授予了权限。 |
5. | 关闭所有窗口。 |
委派用户的创建和删除
下列步骤说明如何为权威性安全组委派特定任务。在本示例中,人力资源部的成员 HRTeam 需要创建和删除用户帐户的权限以便于人事工作的开展。此类委派表示二级委派,因为所指派的控制是对特定容器的权限子集的控制。在上一示例中,指派了特定容器的所有权限。
要将对特定任务的控制委派给 HRTeam,请按照以下步骤操作:
1. | 在“Active Directory 用户和计算机”管理单元中,单击“Divisions”OU。 |
2. | 右键单击“Divisions”,然后单击“委派控制”。此时将出现“委派控制向导”。单击“下一步”。 |
3. | 在“用户和组”页上,依次单击“添加”、“高级”和“立即查找”。滚动到“HRTeam”,双击“HRTeam”,然后单击“确定”。单击“下一步”继续。 |
4. | 在“要委派的任务”页上,单击“委派下列常见任务”下面的“创建、删除以及管理用户帐户”(第一个选项),如图 3 所示。单击“下一步”继续。  图 3. 委派特定的任务 |
5. | 在摘要页上,检查拟定的设置,然后单击“完成”。 |
验证授予的权限
要验证授予的权限,请按照以下步骤操作:
1. | 在“Active Directory 用户和计算机”管理单元中,右键单击“Divisions”,然后单击“属性”。 |
2. | 在“安全”选项卡上,单击“高级”。如图 4 所示,应用于用户对象的权限是非常精细的,其中包括 HRTeam 的相应权限。  图 4. 验证授予的权限 |
3. | 双击第二个“HRTeam”项(创建/删除用户对象),请注意已成功指派了“创建用户对象”和“删除用户对象”权限。注意,这些权限“应用于”此对象(“Divisions”OU)及所有子对象。“关闭”所有窗口。 |
委派所有用户密码的重设
本节将前一个示例(委派特定任务控制权)加以引申,并详述一种常见的 IT 支持操作,即重设密码。由于密码重设是最常见的 IT 支持请求之一,因此将控制委派给较低级别的 IT 支持人员可以提高 IT 部门的工作效率。
要将密码重设控制委派给“HelpDesk”组,请按照以下步骤操作:
1. | 在“Active Directory 用户和计算机”管理单元中,单击“Divisions”OU。 |
2. | 右键单击“Divisions”,然后单击“委派控制”。此时将出现“委派控制向导”。单击“下一步”。 |
3. | 在“用户和组”页上,依次单击“添加”、“高级”和“立即查找”。滚动到“HelpDesk”,双击“HelpDesk”,然后单击“确定”。单击“下一步”继续。 |
4. | 在“要委派的任务”页上,单击“委派下列常见任务”下面的“重设用户密码并强制在下次登录时更改密码”,如图 5 所示。单击“下一步”继续。  图 5. 委派特定的任务 |
5. | 在摘要页上,检查拟定的设置,然后单击“完成”。 |
委派对自定义任务的控制
上述示例详细介绍了对特定 Active Directory 容器实施的各种级别的委派控制。在委派特定任务时,选定了一些预定义的选项来进行委派。“控制委派向导”提供了更高级别的精度,它允许将自定义任务指派给特定的用户或组。在下一节中,将向 HRTeam 指派修改特定用户属性的权限以便于一般人事工作的开展。
要将在 Active Directory 中创建和删除用户个人信息的控制权指派给 HRTeam,请按照以下步骤操作:
1. | 在左窗格中,右键单击“Divisions”OU,然后单击“委派控制”。此时将出现“委派控制向导”。单击“下一步”。 |
2. | 在“用户和组”页上,依次单击“添加”、“高级”和“立即查找”。滚动到“HRTeam”,双击“HRTeam”,然后单击“确定”。单击“下一步”继续。 |
3. | 在“要委派的任务”页上,单击“创建自定义任务去委派”。(这允许您委派对整个容器的控制。)单击“下一步”。 |
4. | 在“Active Directory 对象类型选择”屏幕中,单击“只是在这个文件夹中的下列对象”。 |
5. | 向下滚动到最后一项,并选中“用户对象”复选框。在“Active Directory 对象类型选择”屏幕的底部,同时选中“在这个文件夹中创建所选对象”和“删除在这个文件夹中的选择的对象”复选框。检查设置(如图 6 所示),然后单击“下一步”继续。  图 6. 创建自定义委派 |
6. | 在“权限”页上,确保“常规”处于选中状态(默认)。向下滚动,并选中“读取和写入个人信息”复选框,如图 7 所示。 注意:如果选中属性特定的复选框,则会在属性级别提供更高级别的精度。例如,如果您希望 HRTeam 只能够更改用户的街道地址,则可选中该特定属性。  图 7. 创建自定义委派,指派特定权限 |
7. | 单击“下一步”继续。 |
8. | 在摘要页上,检查拟定的设置,然后单击“完成”。 |
其他资源
有关 Windows Server 2003 的最新信息,请参见 Windows Server 2003 Web 站点,网址为:
http://www.microsoft.com/china/windowsserver2003