AD权限委派操作指南(通用).pdf

Active Directory 权限委派操作指南 Active Directory 权限委派操作指南 2013 年 6 月 Active Directory 权限委派操作指南 目 录 文档信息 错误!未定义书签。 目 录 1 第 1 章 概述2 1.1 实施概述2 1.1.1 关于委派控制2 1.2 实施准备2 1.3 实施目标2 1.4 实施思路2 第 2 章 实施步骤3 2.1 安装AD 远程管理工具3 2.1.1 安装KB958830 补丁包3 2.1.2 安装AD 远程管理模块4 2.2 委派控制7 2.2.1 委派步骤7 2.2.2 委派控制的本质11 第 3 章 QA 22 3.1 Exchange 2010 角色无法安装 错误!未定义书签。 文档信息 1 Active Directory 权限委派操作指南 第 1 章 概述 1.1 实施概述 本文档依据 Exchange 2007 邮件系统升级项目实施准备条件要求，委派各分行 管理员进行指定权限的 AD 管理，本文是根据该项目实施过程标准及规范形成该文 档。 1.1.1 关于委派控制 委派范围：在AD 中可以委派控制的范围是站点、域、和组织单位合称为：SDOU 从管理层面来看，不同的委派范围涉及不同的性质工作。例如：站点上最主要工作就是 新建、删除站点、网站连接、子网络等项目。组织单位上最常见的工作，通常是新建、删除 用户和计算机帐户、重设密码与应用组策略等。所以说，委派的范围有两重意义，第一，它 界定了管辖权的范围，就是说被委派的对象只允许在此范围内行使管理权，第二，它提示了 不同性质的工作属性，我们应当针对不同的范围委派的工作。 委派对象：在从多AD 对象中只有用户、计算机和组可以作为委派控制的对象，此外， 该对象不必和授权范围有任何隶属关系。例如：可以将A 组织单位委派给B 组织单位的成 员管理，甚至可以委派给其它域的用户管理。 1.2 实施准备 准备客户端管理机及服务器远程管理工具安装包。客户端管理机须加域 1.3 实施目标 在当前分支机构，如北京、上海、福州等，部署了额外域控，。 1.4 实施思路 1) 准备一台管理操作主机，安装管理工具。 2) 设置管理员相应权限。 3) 派发管理 ou 的控制台文件。 正文 2 Active Directory 权限委派操作指南 第2 章 实施步骤 2.1 安装AD 远程管理工具 [提示：为了避免活动目录域管理员登录后的 token 被窃取攻击的可能性，用户活动目录域 AD 远程管理的这台计算机一定要确保它的安全，这可能包括物理隔绝。] 2.1.1 安装 KB958830 补丁包 双击安装程序 弹出提示是否安装KB958830 补丁，选择 “是”进行安装 选择“我接受”，进行更新安装