如何使用本模块
本模块与 Windows Server 2003 安全指南配合使用,是该指南的补充材料。请将本模块作为创建分布式管理环境的起点。通过将控制权委派给组织单位层次结构,可以让一个组织基于其组织模型来实施管理模型。
概要
在 Microsoft Active Directory? 中,组织单位 (OU) 用作对象容器。您可以在 OU 层次上使用控制委派向导来委派管理权,还可以将组策略应用于 OU.这样,管理委派或组策略设置就会影响组织单位中包含的对象。
本模块描述了如何创建组织单位,以及如何使用控制委派向导。本模块还描述了如何阻止权限继承。通过阻止权限继承,管理员可以防止已配置的权限沿组织单位层次结构向下传播。
创建组织单位
下列步骤可以指导读者完成创建组织单位的整个过程。
创建组织单位
1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.突出显示将要在其中新建组织单位的容器、域或父组织单位。
3.单击“操作”菜单,并选择“新建”,然后选择“组织单位”。
4.在“名称”文本框中键入组织单位的名称,例如“成员服务器”。
5.单击“确定”。
委派管理权
下列步骤说明如何委派管理权。
创建管理组
1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.突出显示相关的 OU(例如“基础结构”),然后单击“操作”菜单,并选择“新建”,然后选择“组”。
3.在“组名”文本框中键入组的名称,例如“Infrastructure Admins”,组名(Windows 2000 以前版本)将自动填充。
4.确保选中“组作用域”部分中的“全局”单选按钮和“组类型”部分中的“安全”。
5.单击“确定”。
将用户移进组
1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.突出显示要移到组中的用户。
3.单击“操作”菜单并选择“添加到组”。
4.在“输入要选择的对象名称”文本框中键入组的名称,或单击“高级”并搜索该组。
5.选中正确的组后,单击“确定”。
6.在确认对话框中单击“确定”。
委派管理
1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.突出显示要委派其管理权的容器。
3.单击“操作”菜单并依次选择“所有任务”和“委派控制”。
4.在“欢迎”对话框上单击“下一步”。
5.单击“添加”。
6.输入要向其委派控制权的组的名称,例如“域工程”,或单击“高级”搜索该组。
7.选择正确的组后,单击“确定”,然后单击“下一步”。
8.从列表中找到要委派的任务,选中相应的复选框,单击“下一步”,然后单击“完成”。
注意:要在“Active Directory 用户和计算机”中查看已配置的权限,请单击“查看”菜单,并选择“高级功能”。突出显示 Active Directory 容器,单击“操作”菜单,选择“属性”,并单击“安全”选项卡。
阻止权限继承
下列步骤说明如何阻止权限继承。
阻止权限继承
1.通过依次单击“开始”、“管理工具”和“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。
2.单击“查看”菜单,并选择“高级功能”。
3.突出显示相关的组织单位,单击“操作”菜单,并选择“属性”。
4.选择“安全”选项卡,并单击“高级”按钮。
5.取消选中“允许父项的继承权限传播到该对象和所有子对象”复选框。包括那些在此明确定义的项目。
6.单击“确定”,然后再次单击“确定”。
