您研究由IT安全专家公司为Contoso制作的报告。您意识到作为高特权组成员的用户帐户(例如Enterprise Admins和Domain Admins)具有对所有系统和数据的完全访问权限。您认识到这些帐户必须受到严格保护。

但是,有些用户需要某些管理员权限才能执行其职责。例如,技术支持人员必须能够为普通用户重置密码和解锁帐户,而某些IT人员将负责在客户端或服务器上安装应用程序或执行备份。

尽管Active Directory和成员服务器具有分配了预定特权的内置组,例如备份操作员和帐户操作员,但是这些可能不符合您的需求。现在,您需要确定如何最好地提供此受限管理访问权限。

使用控制委派向导

委派特权提供了一种向指定用户或组授予有限权限的方法。您可以使用“控制委派向导”向用户或组委派更精细的特权。该向导允许您在站点,域或组织单位级别分配权限。该向导具有以下可以分配的预定义任务:

  • 创建,删除和管理用户帐户。
  • 重置用户密码并在下次登录时强制更改密码。
  • 阅读所有用户信息。
  • 创建,删除和管理组。
  • 修改组的成员资格。
  • 将计算机加入域(仅在域级别可用)。
  • 管理组策略链接。
  • 生成策略的结果集(计划)。
  • 生成策略结果集(日志记录)。
  • 创建,删除和管理inetOrgPerson帐户。
  • 重置inetOrgPerson密码,并在下次登录时强制更改密码。
  • 阅读所有inetOrgPerson信息。

您还可以组合权限来创建和分配自定义任务。

要启动控制委派向导,请打开“ Active Directory用户和计算机”,然后找到要委派控制权的组织单位(OU)。

 备注

您还可以将控制委托给域对象。

 提示

若要委派对站点的控制,请使用Active Directory站点和服务工具委派控制。

然后使用以下过程:

  1. 右键单击或将上下文菜单激活为OU,然后选择Delegate Control,然后选择Next
  2. 在“委派控制”向导中,选择要向其委派控制的用户或组,然后选择“下一步”

     提示

    您应该避免将权限分配给特定用户。相反,即使该组仅包含一个用户,也应使用组。这使正在进行的管理更加容易。

  3. 在“要委派任务”页面上,从常见任务列表中选择,或者选择要委派的自定义任务。例如,要委派管理用户帐户的能力,请选择以下内容:
    • 创建,删除和管理用户帐户。
    • 重置用户密码,并在下次登录时强制更改密码。
    • 阅读所有用户信息。
  4. 选择完成

控制委派向导中的“要委派的任务”页面的屏幕快照。 管理员已选择与用户管理有关的任务。

 重要

分配委派访问权限后,您将无法使用“控制委派向导”来查看您的设置。

要查看以前配置的委派任务:

  1. 在“ Active Directory用户和计算机”中,在菜单上选择“查看”,然后选择“高级功能”
  2. 找到您委派的OU。右键单击或激活上下文菜单,然后选择“属性”
  3. OU名称“属性”对话框中,选择“安全性”选项卡,然后选择“高级”
  4. 找到要委派控制的安全主体并查看权限。您还可以在此处更改委托权限。

“ IT的高级安全设置”对话框的屏幕快照。 管理员已选择“权限”选项卡。 显示的是IT OU上的权限,包括ContosoAdmin的委派权限。

 备注

所述控制向导委派提供的AD DS权限上AD DS对象的结构的简单,向导驱动的界面。

示范

以下视频演示了如何使用“控制委托向导”来实现委托特权。该过程的主要步骤是:

  1. 打开Active Directory用户和计算机
  2. 在“经理” OU中创建一个名为“销售经理”的新组。
  3. 将用户添加到“销售经理”组。
  4. 运行“控制委派向导”,以“销售OU”为目标。
  5. 销售经理组分配“重置用户密码”,并在“销售OU”的下次登录许可时强制更改密码
  6. 组成员的身份登录,并验证用户可以为Sales OU中的用户重设密码,但不能为Research OU中的用户重设密码。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注