第21章组织单元和委派权限_Z_V1.docVIP

组织单元和委派权限 教学目标： 设计和规划组织单元 创建组织单元 委派管理控制 管理计算机加入域的权限 在规模较大的公司，计算机和员工数量相当多，同时又有很多部门，针对某个部门IT管理方面的工作就有必要委派给该部门的某个员工。为了有效的管理用户和计算机以及方便委派授的需要，就需要合理的设计和规划组织单元，组织域中的用户和计算机账户。 取消默认的普通域用户能够将10台计算机加入域的权限，授权委派指定域用户能够将计算机加入域。 设计组织单元 域是活动目录逻辑结构的核心，可以在活动目录中根据管理的方便根据公司或企业的组织结构创建组织单位。 比如您管理的公司位于有北京和石家庄两个城市，您的公司有两个部门研发部和销售部，这两个部门分布于在两个城市，如何设计组织单元呢？ 组织单元的设计应该方便IT部门的管理，如果石家庄一个IT部门，北京一个IT部门，您可以优先以地理位置创建组织单位。再在石家庄和北京两个组织单位内按部门创建子组织单位，如图21-1所示。 图21-1 以地理位置创建组织单位 如果您的公司IT部门是以部门划分的，你可以优先以部门创建组织单元，这两个部门再创建石家庄和北京两个子组织单元，这样就较为容易的授权销售部部门IT人员管理两个城市的销售部，授权研发部部门IT人员管理两个城市的研发，如图21-2所示。 图21-2 以部门创建组织单位 组织单元是每一个活动目录域中的容器，代表了各个部门组织的层次结构。为实现活动目录中的组织单元代表部门组织的层次结构，你必须明白影响创建组织单元结构的因素。本节将提供设计组织单元策略所需的知识和技能。 组织单元设计过程 活动目录中的组织单元的结构取决于组织的管理结构。为了支持委派管理授权，应当设计活动目录结构来支持组织要求的管理IT结构。设计组织单元的第一步是识别组织的结构。 为你的组织设计组织单元的策略，执行下列步骤： 整理现在的各部门的组织结构：当整理现在的组织结构时，将管理任务分类，然后决定每类管理任务由哪些管理员负责。 标明需要改进的地方：和设计团队一起标明哪些地方需要改进。比如，将几个不同的IT部门合并对管理来说非常高效。你也可以标明能够作辅助管理工作的非IT部门的员工来降低IT部门员工的工作量。这样，管理员能够将工作重点放到需要专业技术的方面。 下列步骤是设计委派管理控制的指导方针： 确定管理级别. 明确要委派每个组什么任务以及在什么层次上委派。当你创建计划时，标明哪些组能够： 对某种对象完全控制。这些组能够创建，删除某种对象以及修改这种对象的所有属性。 允许创建某类对象。默认用户对自己创建的对象有完全的权限。 允许修改现有某类对象的部分属性。 确定每一个组织中的管理员和用户以及他们管理的资源. 这些信息将帮助你明确指派给组织单元的所有者和权限。 委派管理 创建组织单元的主要原因是分散管理任务，通过将管理控制权委派给其他用户，委派管理对于实现集中模式非常重要。 可以为适当的用户和组指派一定范围的管理任务。可以为普通用户和组指派基本管理任务，而让 Domain Admins 和 Enterprise Admins 组的成员执行域范围和林范围的管理。通过委派管理，可以使组织内的组更多地控制他们的本地网络资源。通过在域中创建组织单位并将特定组织单位的管理控制权委派给特定用户或组，可将管理控制权委派给域树的任何级别。 比如委派一个用户对人力资源组织单元有创建用户的权利或能够重设用户密码的权利，那么这个用户的权限作用范围只是这个组织单元，这样可以减少域级别的管理员的数量，以及将错误管理产生的影响限制在小的范围内，同时，保护网络不受意外或恶意的损伤。 例如，可以创建一个组织单位，该组织单位允许您将某个部门（如“人力资源部”）的所有分支中所有用户和计算机帐户的管理控制权指派给用户。也可以只把部门内的某些资源（例如计算机帐户）的管理控制权指派给用户。另一种可能的管理控制委派是将“人力资源”组织单位（而不是“人力资源”组织单位内包含的任何组织单位）的管理控制权指派给用户。 Active Directory 定义了特定的权限和用户权利，可用于委派或限制管理控制权。通过使用组织单位、组和权限的组合，可以定义某个人最适合的管理范围，可以是整个域、域内的所有组织单位，或单个组织单位。 组织单元的管理任务 使用组织单元根据对象的类型组织对象，比如用户，组，计算机，你能高效地管理它们。 在活动目录中执行的常见的管理任务： 改变容器的部分属性：比如，当新的软件的补丁包出现时，管理员可以在某个组织单元上创建组策略来给这个部门的用户部署这个软件。 创建和删除指定类型的对：在一个组织单元中，指定的类型可以包括用户，组，计算机，打印机。比如，当一个新员工到某个部门工作，你要给这个员工在适当的组织单元创建一个用户帐号。