实现委托的权限
- 10 分钟
通过研究 IT 安全专家公司为 Contoso 出具的报告, 你发现属于高权限组(如企业管理员和域管理员)的成员的用户帐户对所有系统和数据都具有完全访问权限。 你认识到这些帐户必须受到严格保护。
但是,有一些用户需要某些管理员权限才能执行其任务。 例如,技术支持人员必须能够重置普通用户的密码和解锁帐户,而某些 IT 人员将负责在客户端或服务器上安装应用程序,或执行备份。
尽管 Active Directory 和成员服务器具有分配了预定权限的内置组,例如备份操作员和帐户操作员,但这些可能不能满足你的需求。 在这种情况下,需要确定如何最好地提供此有限的管理访问。
使用控制委托向导
委托权限提供了向指定的用户或组授予有限权限的一种方法。 你可以使用控制委托向导向用户或组委托更精细的权限。 借助该向导,你可以在站点、域或组织单位级别分配权限。 该向导包含以下可分配的预定义任务:
- 创建、删除和管理用户帐户。
- 重置用户密码和在下次登录时强制要求更改密码。
- 读取所有用户信息。
- 创建、删除和管理组。
- 修改组成员身份。
- 将计算机加入域(仅在域级别支持)。
- 管理组策略链接。
- 生成策略的结果集(规划)。
- 生成策略的结果集(记录)。
- 创建、删除和管理 inetOrgPerson 帐户。
- 重置 inetOrgPerson 密码和在下次登录时强制要求更改密码。
- 读取所有 inetOrgPerson 信息。
还可以组合这些权限来创建和分配自定义任务。
要启动控制委托向导,请打开,请打开“Active Directory 用户和计算机”,然后找到要委托控制的组织单位 (OU)。
注意
还可以在域对象上委托控制。
提示
要委托对站点的控制,请使用 Active Directory 站点和服务工具来委托控制。
然后执行以下步骤:
右键单击或激活 OU 的快捷菜单,然后依次选择“委托控制”和“下一步”。
在委托控制向导中,选择要向其委托控制的用户或组,然后选择“下一步”。
提示
应避免向特定用户分配权限, 而是应使用组,即使该组只包含一个用户。 这可以简化后续管理。
在“要委托的任务”页面上,从常规任务列表中选择任务,或者选择要委托的自定义任务。 例如,要委托管理用户帐户的功能,请选择以下各项:
- 创建、删除和管理用户帐户。
- 重置用户密码和在下次登录时强制要求更改密码。
- 读取所有用户信息。
选择“完成”。
重要
分配委托访问权限后,不能使用控制委托向导来查看设置。
查看以前配置的委托任务:
- 在“Active Directory 用户和计算机”的菜单上,依次选择“查看”和“高级功能”。
- 找到你委托的 OU。 右键单击或激活快捷菜单,然后选择“属性”。
- 在“OU 名称属性”对话框中,选择“安全”选项卡,然后选择“高级”。
- 找到向其委托了控制的安全主体并查看其权限。 你还可以在此处更改委托的权限。
注意
控制委托向导提供一个简单的向导驱动界面,用于配置对 AD DS 对象的 AD DS 权限。
演示
以下视频演示了如何使用控制委托向导来实现委托的权限。 此过程的主要步骤如下:
- 打开“Active Directory 用户和计算机” 。
- 在“经理”OU 中创建一个名为“销售经理”的新组。
- 向该“销售经理”组添加用户。
- 运行控制委托向导,以定向“销售”OU。
- 向“销售经理”组分配“重置用户密码”,并在下次对销售 OU 执行登录权限时强制要求更改密码。
- 以“销售经理”组的成员身份登录,并验证该用户可为“销售”OU 中的用户重置密码,但不能为“研究” OU 中的用户重设密码。