ActiveDirectory委派管理控制

管理控制

需积分: 37 130 浏览量更新于2023-07-11 收藏 490KB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源推荐

第4章委派管理控制

Active Directory 目录服务使管理员可以严格控制他人对 Active Directory 的访问。管

理员通过对目录对象和属性的权限管理，可以精确地指定哪些帐户可以访问 Active

Directory，以及这些可访问帐户的访问级别。这一功能使得管理员可以把Active Directory

的部分权限委派给用户组，同时保证未经授权的用户不能访问 Active Directory，它减轻了

集中式管理的负担。

对 Active Directory 对象来说，控制访问和委派管理权限非常重要，尤其在建立分散

式管理模型时更是如此。另外，在委派的过程中，高级别的管理员可以把职责委派给某一

用户，而该用户也可以将职责再委派给其他的用户。

学习完本章后，您将能够：

z 描述委派管理控制的关键性概念

z 控制对 Active Directory 对象的访问

z 委派对 Active Directory 对象的管理控制

z 管理计算机帐户

z 创建和部署自定义控制台

z 使用和配置任务板

4.1 委派管理控制简介

委派管理控制是指把管理对象的任务分配给若干个人，从而实现分散管理。管理员可

以把某些权限分配给用户或用户组，使他们可以进行某些管理控制。

因为在组织单位层次上管理权限比跟踪单个对象的权限要容易得多，所以管理控制的

委派往往是在组织单位层次上进行的。例如，可以分配给某个部门管理员组“完全控制”

某个组织单位的权限，从而实现管理控制的委派。

通过把组织单位的控制委派给部门管理员组，可以分散管理操作。另外，把管理控制

向底层分散可以减少管理的时间和费用。

分配权限时可采用以下策略：

z 分配某个组织单位的所有权限，其中包括在该组织单位中创建或修改对象的权限。

例如，可以通过委派管理控制来创建用户帐户和计算机帐户，或者修改用户帐户

的属性和计算机帐户的属性

第 4 章委派管理控制

z 分配修改某个对象某些特殊属性的权限或者分配执行某些特殊任务的权限，例如，

分配重置用户帐户密码的权限

技巧要详细记录管理权限的分配情况，以便日后的疑难解答。

4.2 控制对 Active Directory 对象的访问权

为了控制用户对 Active Directory 对象的访问，首先需要决定哪些权限是必需的，还

有这些权限将被用于哪些对象，以及哪些用户和用户组需要这些权限。

4.2.1 Active Directory 权限

权限是由所有者授予的一种权力，它允许用户对某一个对象（比如一个用户帐户）进行

操作。拥有对象的用户可以分派权限给某个安全组，让它来执行该用户授权的部分或全部操

作。

每个对象的权限都保存在一张自由访问控制列表 (DACL) 中，DACL 内有多个访问

控制项 (ACE)，每个 ACE 都对应一个权限。用户可以在“访问控制设置”对话框中的“权

限项”下查看 ACE。

（1）允许权限和拒绝权限

权限可以被允许或者被拒绝。并且，对某一用户组的拒绝权限高于任何对此用户组的

允许权限。例如，一个用户组被拒绝访问某个对象，即使该组中的某些用户隶属于另一个

有权限访问该对象的用户组，这几个用户仍然没有对该对象的访问权。所以，只有当要取

消用户通过另一个用户组的成员身份获得的某个权限时，才使用拒绝权限。

要点 “拒绝权限优先于允许权限”这条规则有一个例外：对某对象的显式允许权限优先

于该对象的继承拒绝权限。可以通过 ACE 项名左边的钥匙图标的颜色来区分显式

ACE 和继承 ACE：显式 ACE 的图标是黄色的；继承 ACE 的图标是灰色的。

（2）显式权限和隐式权限

权限可以被显式地或隐式地拒绝，如下所示：

z 如果执行某个操作的权限没有被显式分配，那么它就被隐式拒绝

例如，“市场部”(Marketing) 用户组拥有对一个用户对象的“读取”权限，并且在这个

对象的 DACL中没有其他的安全项，那么不属于“市场部”用户组的其他用户都被隐式地拒

绝访问。操作系统不会允许“市场部”用户组成员以外的用户读取该用户对象的属性。

z 权限也可以被显式拒绝

例如，“会计部”(Accountants) 用户组的成员同时也都是“市场部”用户组的成员，

而“市场部”用户组拥有查看某用户对象属性的权限，但需要禁止“会计部”用户组的成

员查看该用户对象的属性。这时可以显式拒绝“会计部”用户组的“读取”权限。这个例

Windows 2000 网络环境管理

子说明了显式拒绝的用法，它可用来从一个较大的组（如“市场部”用户组）中排除一个

子集（如“会计部”用户组），以防止该子集获得较大的组所具有的某种操作权限。

（3）标准权限和特殊权限

可以为对象设置标准权限和特殊权限。标准权限是经常被分配的权限。特殊权限则是

用来对对象的访问权进行更精细的控制。

表 4-1 列出了适用于大部分对象的标准权限以及每种权限所允许的用户访问类型。

表 4-1

对象权限

允许用户进行的操作

完全控制改变权限，获取所有权，执行其他标准权限所允许的任务

读取查看对象、对象属性、对象所有者，以及 Active Directory 权限

写入改变对象属性

创建所有子对象在 Active Directory 中添加任何类型的子对象

删除所有子对象在 Active Directory 中删除任何类型的子对象

注意虽然权限可以直接分配给用户，但最好还是只分配给用户组。

4.2.2 控制权限的继承

Active Directory 的权限继承功能允许容器内的对象自动继承该容器的权限。例如，文

件夹内的文件在创建时就继承了该文件夹的权限。这种继承最大限度地减少了为对象分配

权限的次数。当创建一个对象时，Active Directory 就会为该对象设置一个默认权限集。

（1）将权限应用于子对象

在分配给某个用户对象一定的权限后，该权限也适用于该对象的子对象。例如，如果

希望某个用户可以管理一个组织单位内的所有对象，那么可以分配给该用户“完全控制”

的权限，这样所有子对象都会继承该权限。为了表明权限已经被继承，子对象“权限”对

话框内的复选框都将显示为灰色。

（2）阻止子对象继承权限

阻止继承就是阻止子对象从它的父对象上继承权限。如果想为子对象设置比它的父对

象更具限制性的权限，就需要阻止它继承父对象的权限。

只能阻止继承那些显式分配给对象的权限。在阻止了权限继承后，可以使用 Microsoft

Windows

2000 执行以下的操作：

z 把以前继承的权限复制给对象，然后再根据需要对权限做必要的修改

z 删除对象以前继承的权限，然后再根据需要为对象重新分配权限

剩余25页未读，继续阅读

hstjl

粉丝: 1
资源: 2

会员权益专享

Active Directory委派管理控制

会员权益专享

最新资源

Active Directory委派管理控制

Windows Server 2003 ActiveDirectory 配置指南 part3

Windows Server 2003高级管理教程与上机指导

HelloID-Conn-SA-Full-AD-AccountUpdateManager:Active Directory-更改用户的管理员

Active Directory中的访问控制与权限管理

Windows服务器Active Directory与用户管理

Active Directory安全审计和日志管理

组织和管理Active Directory组：权限和访问控制

Azure Active Directory中用户管理的技术指导

虚拟机无法与域的active directory域控制器连接

详细说下active directory管理权限分配

active directory 微软 手册

Active Directory的安全机制

active directory配置指南 pdf

Active Directory管理中心创建的用户在哪

部署与管理active directory域服务环境

dhcp配置无法访问windows active directory

active directory配置手册

windows server 2019 active directory配置指南 pdf

dns服务器无法打开active directory

active directory是什么

会员权益专享

最新资源

active directory 微软手册