任务3：创建与管理组织单位.ppt

Windows 网络操作系统的配置与管理 单元一：安装windows操作系统 单元二：安装与配置活动目录域服务 单元三：管理用户和组 单元四：配置和管理组策略 单元五：配置与管理分布式文件系统 单元六：配置与管理存储系统 单元七：配置与管理打印服务器 单元八：IP地址与配置方法 单元九：配置与管理DHCP服务器 单元十：配置与管理DNS服务器 单元十一：配置与管理Web服务器 单元十二：配置与管理ADCS 单元十三：配置路由与远程访问 单元十四：配置网络策略服务和网络访问保护 单元二 安装与配置活动目录域服务 任务1 安装活动目录域服务 任务2 安装RODC只读域控制器 任务3 创建与管理组织单位 任务3 创建与管理组织单位 一、工作目标 二、知识原理 1.1 组织单位概述 1.2 组织单位的层次模型 1.3 与组织单位相关的名称 1.4 组织单位控制委派的概念 1.5 Active Directory 对象的标准权限 1.6 Active Directory 对象权限的继 1.7 阻止权限继承 三、演示 创建与管理组织单位 四、小结 一、课程导入 组织单位是域中active directory对象的一种非常有用的类型。组织单位可以将目录中成百上千的对象组织到易于管理的单位中，并且可以根据管理目的分组，并组织对象。 二、知识原理 2.1 组织单位概述 2.2 组织单位的层次模型 2.3 与组织单位相关的名称 2.4 组织单位控制委派的概念 2.5 Active Directory 对象的标准权限 2.6 Active Directory 对象权限的继 2.7 阻止权限继承 2.1 组织单位概述 在域中组织对象 允许管理员委派管理控制 简化通用分组资源的管理 通常根据公司的职能机构和业务机构来创建组织单位 2.2 组织单位的层次模型 基于功能 S C M S – 销售 C – 咨询 M – 市场 基于混合型的示例 功能 组织 位置 功能 组织 位置 基于组织 M E R M – 制造业 E – 工程师 R – 研究员 基于地理位置 N F I N – 挪威 F – 法国 I – 印尼 2.3 与组织单位相关的名称 示例 名称 OU=MyOrganizationalUnit, DC=microsoft, DC=com LDAP 可分辨名称 OU=MyOrganizationalUnit LDAP 相对可分辨名称 M/MyOrganizationalUnit 规范名称 2.4 组织单位控制委派的概念 分什么责任? 好处是什么? 把管理组织单位的任务分给另一个用户 域 OU1 OU2 Admin2 Admin1 Admin3 OU3 域 OU1 OU2 OU3 Admin1 Admin2 Admin3 2.5 Active Directory 对象的标准权限 权限 允许用户 完全控制 修改权限、获取拥有权、执行其它标准权限所允许的任务 写入 改变对象的属性 读取 查看对象、对象属性、对象的所有者和Active Directory 权限 创建所有子对象 增加任一对象类型到组织单位中 删除所有子对象 删除组织单位中任一子对象类型 2.6 Active Directory 对象权限的继承 子容器和子容器中的对象继承父容器上的权限 父容器 访问 用户1 读取 组1 完全控制 用户 1 读取 组1 完全控制 子容器 用户被分配父容器的访问权限 子容器继承的权限 权限 权限 2.7 阻止权限继承 阻止权限继承,可以使得子对象无法继承父对象的权限。 三、演习 创建与管理组织单位 工作场景： 你是shixun公司的网络管理员，现在需要创建一层次形的组织单位结构。该组织单位采用基于位置的层次结构，依据地理位置，部门分层，然后将正式员工和临时员工区别开来，同时委派组织单位的管理权限。组织单位结构如下： 实验环境： SH－DC1 IT Test shanghai Marketing Accounting Employees Temp Employees Employees Temp Employees 实验任务 1.以shixun\administrator域管理员登录sh-dc1计算机 2.在active directory用户和计算机管理控制台下创建图示组织单位结构 3.委派user1用户对sale组织单位的读写权限。 IT Test shanghai Marketing Accounting Employees Temp Employees Employees