这种对於组织单位的授权称为委派控制.PPT

第 11 章 組織單位與委派控制 本章重點 11 - 1 何謂組織單位 11 - 2 規劃組織單位 11 - 3 管理組織單位 11 - 4 管理組織單位的成員 11 - 5 委派控制 組織單位與委派控制 組織單位（Organizational Unit）是從 Windows 2000 之後才出現的物件, 在 AD 網域的邏輯架構中擔任重要的角色。 本章將告訴讀者：組織單位是什麼？它能幫我們做什麼？以及如何管理組織單位。 11 - 1 何謂組織單位 在 Windows NT 的時代, 網域（Domain）是組織和管理網路的最小單位。 倘若不同的部門有不同的安全需求與管理方式, 往往因此得將整個公司劃分成多個網域。可是這種多網域的架構, 在管理與成本都會增加負擔。 為了解決這類的問題, 微軟公司在 AD 網域中增加了組織單位這種物件, 使得整個網域的規劃與管理更有彈性, 能發揮『分層負責、授權自治』的優點。 何謂組織單位 簡言之, 組織單位就是一個比網域還小的管理單位。若能善用組織單位, 便能儘量避免形成多網域架構, 節省企業成本。 所以有人說：『組織單位就是次網域 (Subdomain)！』 組織單位的特性 組織單位是一種容器 組織單位可以組成階層化架構 組織單位是一種容器 能包含其它物件的物件便稱為容器（Container）, 既然組織單位是一種容器, 自然也能包含其它物件。 它可以包含以下 9 種物件： 使用者 電腦 群組 印表機 共用資料夾 組織單位是一種容器 聯絡人 組織單位 InetOrgPerson MSMQ 路由別名 但是要記得一點－－組織單位僅能包含同網域內的物件, 不能包含其它網域的物件！ 組織單位可以組成階層化架構 若組織單位包含的物件數量眾多, 卻又全部放在同一個組織單位內, 必定顯得雜亂無章。 因此最好再建立下層組織單位, 將各種物件分門別類存放, 以提高管理效率。 就這一點來看, 組織單位的功用和檔案結構裡的『資料夾』（Folder）很類似, 都是為了便於分類管理而建立的。 使用組織單位的時機 通常是為了授權管理而建立組織單位。 例如：業務部門的人事異動較頻繁, 因此常常要求系統管理員為他們刪除、變更和建立帳戶。 於是系統管理員便建立『業務部』這個組織單位, 將業務部的全部使用者與電腦都隸屬於該組織單位, 並賦予業務部經理新增、刪除與修改使用者帳戶和電腦帳戶的權力。 使用組織單位的時機 爾後該部門的帳戶異動工作, 就不必麻煩系統管理員了。 因此, 『建立組織單位』和『授權』可說是焦不離孟、孟不離焦的關係, 這種對於組織單位的授權稱為委派控制（Delegation）, 請參見 11-5 節。 還有一種情形也有可能建立組織單位－－套用群組原則（Group Policy）, 我們在第 12、13 章會仔細說明。 組織單位與群組的差異 初次接觸組織單位時, 許多使用者會將它與『群組』（Group）混淆, 雖然兩者都是應用在 AD 網域的邏輯架構中, 但是在使用上有以下的差異： 一個使用者可以隸屬於多個群組, 但是只能隸屬於一個組織單位。 組織單位可以包含群組, 但是群組不能包含組織單位。 網路資源（例如：資料夾或印表機）的權限可以賦予群組, 但是不能賦予組織單位。 11 - 2 規劃組織單位 如何規劃組織單位的架構, 是一個頗有挑戰性的課題。然而並無一定的準則, 主要視企業實際需求而定。 以下列舉幾種常見的規劃模式： 依地理位置劃分 規劃組織單位 依管理權責劃分 規劃組織單位 依事業單位劃分 規劃組織單位 依專案內容劃分 規劃組織單位 依部門組織劃分 規劃組織單位 當然, 以上只是概略性的原則, 未必適用於哪一家企業。 在龐大的跨國企業中, 可能有三、四層組織單位, 上層採用地理位置劃分；中層採用事業單位劃分；下層則採用專案內容劃分。 這種混合式的規劃方式不但具有彈性, 也兼顧了行政效率, 值得做為借鏡。 11 - 3 管理組織單位 本節將介紹新增、移動、刪除組織單位和變更組織單位名稱的方式。 假設要在 .tw 網域建立『總管理處』、『電腦事業處』和『業務處』等 3 個組織單位, 之後因組織異動, 將業務處改為隸屬於總管理處, 並更名為業務部, 最後又刪除電腦事業處。 這一連串步驟示範如後。 新增組織單位 請執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令： 新增組織單位 新增組織單位 在第 4 步驟看到的保護容器不被意外刪除, 是為了保護此組織單位不會被誤刪, 而在 Windows Server 2008 新增的項目, 預設為選取, 等於將此物件設為『唯讀』（Read Only）, 不允許刪除或搬移。 由於我們接著會將業務處搬移到總管理處下層, 為方便操作故取消選取