管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU...

19
管理 Active Directory 本章涵蓋的微軟考試目標如下: 3 建立與維護 Active Directory 物件 Active Directory 帳戶的自動化建立。包括: 大量匯入;Active Directory遷移工具(ADMT) v3 、設定UPN;建立電腦、使用者和群組帳 ( 指令碼、匯入、遷移) ;範本帳戶;連絡 人;通訊群組清單 維護Active Directory 帳戶。包括:設定成員 資格;重設帳戶;委派;AG DLP/AGGUDLP 策略;拒絕網域本機群組;本機vs.網域;受保 護的管理員;停用帳戶vs. 刪除帳戶;撤回; 連絡人;建立組織單位(OU) ;委派控制 設定並套用群組原則物件。包括:強制、OU 階層、禁止繼承、啟用使用者物件;群組原 則處理優先順序;WMI ;群組原則篩選;群 組原則回送(請參閱第八章)

Transcript of 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU...

Page 1: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

管理 Active Directory

本章涵蓋的微軟考試目標如下:

建立與維護 Active Directory物件

Active Directory帳戶的自動化建立。包括:

大量匯入;Active Directory遷移工具(ADMT)

v3、設定UPN;建立電腦、使用者和群組帳

戶(指令碼、匯入、遷移);範本帳戶;連絡

人;通訊群組清單

維護Active Directory帳戶。包括:設定成員

資格;重設帳戶;委派;AG DLP/AGGUDLP

策略;拒絕網域本機群組;本機vs.網域;受保

護的管理員;停用帳戶vs.刪除帳戶;撤回;

連絡人;建立組織單位(OU);委派控制

設定並套用群組原則物件。包括:強制、OU

階層、禁止繼承、啟用使用者物件;群組原

則處理優先順序;WMI;群組原則篩選;群

組原則回送(請參閱第八章)

Page 2: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊296

在前幾章你學到如何安裝網域名稱系統(DNS)和 Active Directory,設定伺服器角色、使用站台,但尚未認識 Active Directory中較低層級的物件。

本章將檢視網域中不同元件的結構。由於組織單位(OU)容易使用並能以直覺化的方式建立,你將可見到如何透過使用 OU 而在 Active Directory 中對映出組織的企業結構。不過因為 OU 的有關概念相當簡單,一些系統管理者可能低估其重要性而未妥善地計劃使用。千萬別犯這種錯,適當地設計與部署 OU 可是Active Directory安裝成功的重要一部分。

你還會看到實際建立一般 Active Directory 物件時所需的步驟,並學會如何設定與管理這些物件。最後,你將明白發佈資源與自動建立使用者帳戶的方法。

OU概觀 組織單位(organizational unit,OU)如其名所示,可視為邏輯的 Active Directory物件之群組。OU係作為容器,其中可以建立其他 Active Directory物件,但並不會形成 DNS命名空間的一部分。OU只是用來建立網域內的組織。

OU可包含下列類型的 Active Directory物件:

使用者

群組

電腦

共用資料夾物件

連絡人

印表機

InetOrgPerson物件

MSMQ路由別名物件

其他組織單位

Page 3: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 297

也許,OU 最實用的功能就是可包含其他 OU 物件。也因此系統管理者可以依據企業實務,運用階層方式將資源及其他物件組成群組。OU 結構極為彈性,如本章稍後所見,OU可輕易地重新排列以反映企業的整頓。

OU 的另一個好處是每個 OU 可以有自己的一組原則。管理者可以為每個 OU建立個別且獨特的群組原則物件(Group Policy object,GPO)。GPO是個可套用至 OU 中所有物件的規則或原則。(GPO 將在第八章「群組原則物件」中詳細討論。)

每種類型的物件在 Active Directory 網域組織中都有它的作用。本章稍後將介紹使用者、電腦、群組與共用資料夾等物件的詳細內容。現在先將焦點著重在

使用 OU的目的與好處。

使用 OU的目的

OU主要是用來組織、管理 Active Directory內的物件。不過在探究 OU的細節之前,必須先瞭解 OU、使用者以及群組如何相互影響。最重要的是瞭解 OU僅是容器,是用來將不同物件邏輯的組成群組。OU 並非傳統上所指的群組,因此無法用來指派安全性權限。也就是說 OU 內所含的使用者帳戶、電腦帳戶與群組帳戶被認為是安全性主體,但 OU本身並不是。

OU 不會取代標準的使用者與群組權限(將在第九章討論)。一般實務上最佳的做法是將使用者加入至群組,然後將群組置於 OU 中。此舉在設定上,可增強設定安全性權限與使用 OU階層式的好處。圖 7.1說明此概念。

圖 7.1 使用者、群組與 OU的關係

Page 4: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊298

OU 只能包含其所屬網域的物件。如稍後「委派管理控制」一節中所見,OU是群組原則及其他管理設定所使用的最小層級。

OU的好處

在整個網路環境中使用 OU有不少的好處:

OU是可以指派目錄權限的最小單位。

OU結構可以輕易改變,而且比網域結構更有彈性。

OU結構支援許多不同的階層層級。

子物件可以繼承 OU設定。

OU上可以設定群組原則設定。

可以輕易委派 OU以及其中物件的管理給適合的使用者與群組。

在對使用 OU 的原因有了良好的觀念後,接著來看看實務上所做的 OU 結構規劃。

規劃 OU結構 Active Directory一項重要的好處就是有方法可以讓複雜的網路環境變得有組織性。在各種設定中建立 OU 之前,必須先規劃適合企業需求及技術需求的結構。本節將說明規劃 OU結構前應考量的幾項因素。

資源的邏輯性分組 Logical Grouping of Resources

使用 OU 的基本目的是運用階層式將 Active Directory 中現有資源組成群組。慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

一個典型的製造業可能將各種作業分成下列不同的部門:

業務

行銷

工程

研發

技術支援

資訊(IT)

Page 5: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 299

每個部門通常有自己的目標與任務。為了維持企業競爭力,部門中每個人都會

被分配為不同的角色。部分可能的角色如下:

主管

文書人員

技術人員

規劃人員

每個角色通常承擔特定的工作職責。例如,主管應管理一般職員。注意,每個

員工可擔任各種職務。亦即一位員工可以是某部門的主管,但也是另一技術部

門的成員。這種狀況在現代的工作場所中很常見。

這一資訊有助規劃如何使用 OU。首先,既有網路環境中的 OU 結構應妥善地對應企業需求(包括組織中行政性與邏輯性結構)以及技術需求。圖 7.2 顯示企業組織如何對應至 Active Directory網域中的 OU結構。

圖 7.2 將企業組織對應至 OU結構

Page 6: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊300

在為組織的 OU命名時,要留意幾項重點及限制:

保持名稱及敘述簡單 OU 的目的在簡化資源的管理與使用。因此保持物件名稱簡單並具敘述性,是較好的做法。但有時要這二目標之間找出平衡點是一項挑

戰。例如,雖然「位在 Bob 座位附近的雷射印表機(The LaserJet located near Bob’s cube)」可能敘述得很清楚,但要打這一長串的字就麻煩了些。另外當Bob職務上異動(或離開公司)時,在命名也要做調整。

注意限制 OU 名稱最長為 64 字元。大多數情況下,這足以適當地描述 OU。 記住,通常提到 OU 時只是把它當作整個階層的一部分,所以在描述 OU 物件的名稱上並不具唯一性。例如可以在二個不同的父系 OU 中,都建立名為「IT」的子系 OU。即使 OU有相同的名稱,使用者及管理者仍能夠根據它們的完整路徑名稱分辨出二者。

注意階層的一致性 OU 結構的基礎係根據它在階層中的位置。從設計的觀點看,這表示同一層級中,不可以有二個以上的 OU 名稱相同。不過不同層級中的 OU可以有相同的名稱。例如在 North America及 South America二個 OU中可以各建立一個名為 Corporate 的 OU。這是因為完整格式名稱中可以看出階層的資訊。因此當管理者試著存取 Corporate OU 中的資源時,必須要指明他所說的是哪一個 Corporate OU。

假如建立了 North America OU,將 Canada OU置於 North America OU之下是很正常的,也合乎邏輯。如果決定將 North America與 Canada二個 OU分成完全不相干的容器,可能要使用其他更適合的名稱。例如將 North America 換成US。由於使用者與管理者係仰賴網域中 OU 的階層,故要確認它在邏輯上維持一致性。根據上述考量,你應對如何妥善組織網域中 OU結構有良好的觀念。

瞭解 OU繼承

在重新排列 Active Directory 結構內的 OU 時,可能會改變數個設定。所以系統管理者在移動與重組 OU 時,必須小心留意在安全性權限及其他設定選項上自動產生未能預見的改變。依據預設,OU 在移至新的父容器後,將繼承父容器的權限。藉使用 Windows Server 2008 及 Active Directory 所提供的內建工具,可以在同一網域中移動或複製 OU。但是無法使用 Active Directory使用者和電腦工具在網域間移動 OU,必須使用 Active Directory 遷移工具(Active Directory Migration Tool,ADMT)v3.1 才可做到。它是眾多 Active Directory支援工具之一。

請上 Microsoft網站 http://go.microsoft.com/fwlink/?LinkID=82740以獲得更多資訊。

Page 7: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 301

委派管理控制

之前提過 OU 是網域中管理者可以指派管理權限與群組原則的最小元件。現在就來仔細觀察在 OU上如何設定管理控制權。

所謂委派,是指在較高的安全性授權單位指派權限給較低的安全性授權單位。在

現實生活中假設你是大型機構的資訊主管,通常許多工作無法獨力完成,因此需

要指派角色與職責給其他人。例如,假如你在多重網域的環境下工作,你可能讓

一位系統管理者負責 Sales網域內的所有作業,另一位負責 Engineering網域。同樣地,你可以指派組織中所有印表機與列印佇列物件的管理權限給某位使用者,

同時允許另一位不同的使用者管理使用者與群組的所有安全性權限。

藉著這種方式,你可以在整個組織中分配不同的資訊工作角色與職責。企業通

常會分工處理各項工作以維持公司網路有效率地運作。但是網路作業系統通常

讓指派適當的權限變得困難。換句話說其並不支援細微的權限指派。但有時需

要精細的程度才能確保只有合適的權限會被指派。一個常用的基本法則是只提

供使用者與管理者工作所需的最小權限。此法可以確保不會發生意外、惡意與

其他不想要的變更。

你可使用稽核將事件紀錄至事件檢視器的 Security Log。此法可以確保當意外、惡意與其他不想要的變更發生時會被記錄及追蹤。

在 Active Directory 的世界中,可使用委派的程序去定義 OU 管理者的職責。作為系統管理者有時工作就是需要委派職責給其他人,因為不可能一人獨力完

成(不過有些管理者認為他們可以辦到)。雖然以前的 IT思維是為了資訊安全性而所有事情都自己來,但實際上這可能看起來更糟而不是更好。

委派控制只可在 OU 層級進行,在 OU 內的物件層級則無法做。

如果需要進行委派,記住,Windows Server 2008 已提供此功能。委派最簡單的定義就是較高的管理單位,將容器與樹狀子目錄的特定權限授予個人和群

組。重點是讓網域管理者無需在擁有眾多使用者的大型機構中,承擔所有的授

權。因此你可以將控制權限細分至組織樹狀目錄的分支(也就是你所建立的每個 OU)。

Page 8: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊302

欲瞭解委派與權利,要先瞭解存取控制項目(access control entry,ACE)的概念。ACE 是將容器內物件上的特定管理權利授予使用者或群組。容器中的存取控制清單(access control list,ACL)則是用來存放ACE。

在考慮實施委派時,要留意二項重要事項:

父-子關係 在考慮安全性權限的可維護性時,OU階層就變得非常重要。OU中存在著父-子關係(Parent-child relationships),亦即階層中上層的 OU(父層)所設定的權限與群組原則,可以與下層 OU(子層)裡的物件交互操作。當涉及委派權限時,這點極為重要。你可以讓子容器自動繼承父容器所設定的權限。例

如,若公司北美分部有 12個 OU,你可以將安全性權限置於北美分部,而將權限委派給所有 OU(可節省時間並減少人為錯誤的可能)。尤其是在大型組織中,這項功能可大幅減輕管理者的負擔;請記住在網域中適切規劃 OU 結構的重要性。

繼承設定 在知道如何使用父 -子關係進行管理後,接著要考慮繼承(inheritance),也就是子物件承接父容器權限的程序。在父容器上設定權限後,所有子物件都被設定繼承相同的權限。不過如果公司規定不贊成開放繼

承,可以取消此行為。

套用群組原則

Windows 作業系統的強項之一是提供使用者強大的功能與彈性。從安裝新軟體到新增裝置驅動程式,使用者可以對其工作站設定做許多變更。不過這種彈性

也有潛在的問題。例如,沒經驗的使用者可能不小心改變了設定,但所造成的

問題卻需要好幾個小時才能修復。

在許多情況下(特別是企業環境中),使用者只需要作業系統提供的完整功能中的一部分。但以往因為實施暨管理安全性與原則設定上的困難,導致了安全性

原則較為寬鬆。其中部分原因是技術上的—— 因為實施與管理安全性限制非常麻煩且困難重重。其他問題則是行政上的因素—— 因為使用者與管理人員希望擁有本機電腦的完整權限,然而會有潛在的問題。

群組原則的概念就是因此而生。簡單地說,群組原則(group policy)是權限的集合,可以套用至 Active Directory 內的物件。特別地是在站台、網域與 OU 層級上設定群組原則,並套用至使用者帳戶、電腦帳戶與群組。系統管理者使用

群組原則可做的設定包括以下幾例:

Page 9: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 303

限制使用者安裝新程式

不允許使用控制台

限制顯示與桌面設定的選擇

第八章討論與群組原則有關的技術問題。

建立 OU 在瞭解若干使用 OU 來組織管理 Active Directory 內物件的方式後,接著看看如何建立與管理 OU。

透過使用 Active Directory使用者和電腦管理工具(又稱 Microsoft Management Console,MMC),可以快速且輕易地新增、搬移與變更 OU。該圖形化工具可以更容易地運用視覺化來建立組織所需的各種階層。

圖 7.3 顯示一家跨國企業可能使用的 OU 結構示意圖。注意,該組織的基地在北美洲,企業辦公室亦位於此。通常其他辦公室會比位於北美的企業辦公室小

得多。

圖 7.3 OU結構示意圖

Page 10: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊304

注意,此 OU 結構可以有好幾種不同的設計方式,這點很重要。例如,可以選擇將所有在美國的辦公室組成名為 US 的 OU。不過因為這些辦公室規模較大,所以選擇將這些物件置於同一層級的 Canada OU 與 Mexico OU。這可以避免 OU階層裡的層級過多,但又合理地將辦公室進行分組。

練習 7.1 逐步說明為跨國企業建立數個 OU 的步驟。本章稍後的練習也將使用此 OU結構。

為了完成本章中的練習,你必須有 Windows Server 2008網域控制站的管理員權限。

練習 7.1:建立 OU結構

1. 開啟 Active Directory使用者和電腦管理工具。

2. 對本機網域名稱按滑鼠右鍵,並選擇「New Organization Unit」。如下圖。

注意,此方塊目前顯示的路徑位置就是即將建立 OU 的地方。本例中你現在正

建立頂層的 OU,所以完整的路徑就只有網域名稱而已。

3. 輸入 North America 作為第一個 OU 的名稱。取消勾選「Protect Container

From Accidental Deletion」核取方塊,並按下「OK」以建立此物件。

4. 對網域名稱按滑鼠右鍵並選擇「New Organization Unit」以建立下列的頂層

OU。確認所有的 OU 也都取消勾選「 Protect Container From Accidental

Deletion」核取方塊,因為稍後的練習將刪除其中一部分的 OU:

Africa

Asia

Page 11: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 305

Europe

South America

注意,建立 OU 的順序並不重要。本練習中你只是使用一個強調階層式關係的

方法。

5. 對 North America OU按滑鼠右鍵並選擇「New」 「Organization Unit」以在

North America OU中建立下列的第二層 OU:

Austin

Boston

Canada

Chicago

Corporate

Los Angeles

Mexico

New York

San Francisco

6. 在 Asia OU下建立下列 OU:

China

India

Malaysia

Vietnam

7. 在 Europe OU下建立下列 OU:

France

Germany

Spain

UK

8. 在 South America下建立下列 OU:

Argentina

Brazil

Chile

Peru

Page 12: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊306

9. 對 Asia OU 中的 India 按滑鼠右鍵並選擇「New Organization Unit」以在

India OU下建立下列的第三層 OU:

Bombay

New Delhi

10. 在 North America Corporate OU中建立下列 OU:

Engineering

HR

Marketing

Research

Sales

11. 當完成 OU的建立後,應會看到一個類似下圖所示的結構。

管理 OU 即使情況很少變化,管理網路環境仍是一大挑戰。不過在真實世界中企業單

位、部門與職員角色則是常常在改變。當企業與技術需求發生變化時,Active Directory結構也要跟著改變。

Page 13: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 307

幸運地,改變網域中的 OU 結構是相對簡單的程序。下列章節將檢視委派 OU控制權與執行其他變更的方式。

移動、刪除與重新命名 OU

移動、刪除與重新命名 OU 的程序很簡單。練習 7.2 顯示如何輕易地變更與重組 OU以反映企業組織的變化。該練習中的特定狀況包含以下變更:

Research與 Engineering二個部門合併成為 Research and Development部門(RD)。

Sales部門由 Corporate辦公室搬移至 New York的辦公室。

Marketing部門由 Corporate辦公室搬移至 Chicago辦公室。

本練習假設讀者已完成練習 7.1的步驟。

練習 7.2:修改 OU結構

1. 開啟 Active Directory使用者和電腦管理工具。

2. 對 Engineering OU(位於「North America Corporate」)按滑鼠右鍵並按下

「Delete」。當出現確認提示時,按下「Yes」。注意,如果此 OU 內有物件,

也會全部被自動刪除。

3. 對 Research OU按滑鼠右鍵並選擇「Rename」。輸入 RD以改變 OU名稱並按

下「Enter」。

4. 對 Sales OU 按滑鼠右鍵並選擇「Move」。在「Move」對話方塊中,展開

North America節點,並按下 New York OU。按下「OK」以移動此 OU。

Page 14: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊308

5. 你將使用另一種方法移動 Marketing OU。拖曳 Marketing OU 然後放到

Chicago OU上。

6. 完成後,將看見一個類似下圖所示的 OU 結構。關閉 Active Directory 使用者

和電腦管理工具。

管理 OU的內容(property)

雖然在 Active Directory 環境中建立 OU 的目的主要是為了對應企業組織,但OU有許多設定可以修改。欲使用 Active Directory使用者和電腦管理工具修改OU 的內容,先對任一 OU 名稱按滑鼠右鍵並選擇「Properties」,這時會出現該 OU的內容對話方塊。在圖 7.4的例子中可看見「General」標籤上的選項。

在任何組織中,知道負責管理 OU 的人是誰會很有幫助。這項資訊可以在「Managed By」標籤上設定(如圖 7.5)。該索引標籤會自動提取使用者紀錄上的連絡人資訊,所以十分方便。讀者應考慮在組織中每個 OU 內都有位連絡人,這樣使用者與其他系統管理者若需要變更時可知道要聯絡誰。

Page 15: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 309

圖 7.4 OU「Properties」對話方塊的「General」標籤

圖 7.5 OU「Properties」對話方塊的「Managed By」標籤

OU的委派控制

在單純的環境中,可能有一個或數個系統管理者負責管理 Active Directory 內的所有設定。例如,單一系統管理者可能管理環境中全部 OU 內的所有使用者。但在較大型組織中,角色與職責將被分配至不同的人。典型的狀況是一位

系統管理者只負責 Active Directory 網域中少數 OU 內的物件。或是一位系統管理者可能管理使用者與群組物件,而另一位負責管理檔案及列印服務。

Page 16: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊310

幸運地,使用 Active Directory 使用者和電腦工具可以快速、輕易地確認特定的使用者只擁有其所需的權限。在練習 7.3 中,將使用委派控制精靈(Delegation of Control Wizard)指派權限給個人。為了順利完成這些步驟,必須先建立本章之前練習中的物件。

練習 7.3:使用委派控制精靈

1. 開啟 Active Directory使用者和電腦管理工具。

2. 對 North America OU 中的 Corporate OU 按滑鼠右鍵並選擇「Delegate

Control」。這會啟動委派控制精靈。按下「Next」開始設定安全性設定。

3. 在「Users Or Groups」頁面上,按下「Add」鈕。在「Enter The Object Names

To Select」欄位中,輸入 Account Operators 並按下「 Enter」。按下

「Next」以繼續。

4. 在「 Tasks To Delegate」頁面上,選擇「Delegate the following common

tasks」並在下列項目旁勾選記號:

Create, delete and manage user accounts

Reset user passwords and force password change at next logon

Read all user information

Create, delete and manage groups

Modify the membership of a group

按下「Next」以繼續。

Page 17: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 311

5. 「Completing the delegation of Control Wizard」頁面上會提供你所選擇操作的

摘要。請按下「Finish」。

雖然精靈中可用的常見工作已足夠應付許多委派作業,但有些情況讀者可能需

要更多的控制權。例如,讀者可能想要給予某特定系統管理者只有修改電腦物

件的權限。練習 7.4 使用委派管制精靈以指派更細微的權限。為了順利完成這些步驟,必須先建立本章之前練習中的物件。

練習 7.4:委派自訂工作

1. 開啟 Active Directory使用者和電腦管理工具。

2. 對 North America OU 中的 Corporate OU 按滑鼠右鍵並選擇「Delegate

Control」。這會啟動委派控制精靈。按下「Next」以開始做安全性設定。

3. 在「Users Or Groups」頁面上,按下「Add」鈕。在「Enter The Object Names

To Select」欄位中,輸入 Server Operators 並按下「Enter」。按下「Next」

以繼續。

4. 在「Tasks To Delegate」頁面上,選擇「Create A Custom Task To Delegate」,

並按下「Next」以繼續。

5. 在「Active Directory Object Type」頁面上,選擇「Only The Following

Objects In The Folder」,並勾選下列項目(你需要向下捲動以看到全部項目):

User Objects

Computer Objects

Contact Objects

Page 18: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

MCTS:Windows Server 2008 Active Directory Configuration 專業認證手冊312

Group Objects

Organizational Unit Objects

Printer Objects

按下「Next」以繼續。

6. 在「Permissions」頁面上,勾選「General」並確認其他選項未被選取。注

意,假如 Active Directory 架構內的不同物件有內容特定的設定,將會在這裡

看見這些選項。請勾選下列項目:

Create All Child Objects

Read All Properties

Write All Properties

這讓 Server Operators群組中的成員有能力在 Corporate OU中建立新物件,並

擁有權限讀取、寫入這些物件的所有內容。按下「Next」以繼續。

Page 19: 管理 Active Directory - 碁峰資訊epaper.gotop.com.tw/pdf/ACR005400.pdf · 使用OU 的基本目的是運用階層式將Active Directory中現有資源組成群組。 慶幸的是,階層式群組使人容易瞭解,且廣泛地為大多數企業所採用。例如,

Chapter 7 管理 Active Directory 313

7. 按下「Next」以繼續。

8. 「Completing the Delegation of Control Wizard」頁面上會提供你所選擇操作的

摘要。為實行這些變更請按下「Finish」。

真實案例:委派:何人負責何事?

你是大型跨國組織的 IT 主管。從環境中只有幾間辦公室與幾個網路和系統管理者

開始,你已經在公司待了一段時間。但演變至今日,現在系統管理者必須協調 14

個國家中數百位 IT員工的人力。

當環境在 Windows NT網域環境下執行時,網路中存在好幾個網域。為了安全、效

能與分散管理的原因,每個主要辦公室中的計算資源都有自己的網域。你最近決定

遷移至 Active Directory 並將眾多的 Windows NT 網域合併成單一的 Active

Directory網域。這項挑戰涉及如何協調不同系統管理者的人力。

幸好透過適當地使用 OU 與委派,你在決定如何處理管理上有很大的彈性。你可以

有不同方式建立管理的結構。首先,如果你選擇依據地理上的企業結構建立 OU,

你可以依據不同系統管理者的工作職掌去委派控制這些 OU。例如,你可以利用一

個使用者帳戶去管理 Europe OU。在 Europe OU 中,該系統管理者可以委派 Paris

OU與 London OU所代表之辦公室的控制權。在這些 OU中,可進一步將管理職責

再分給印表機佇列操作員與安全系統管理員。

此外,OU 結構也可以依企業功能性來建立。例如,Engineering OU 可能包含其他

位置(如紐約或巴黎辦公室)的 OU。Engineering 網域的系統管理者可以依據地理位

置或工作職責去委派權限給較下層的 OU。不管你是依據部門、功能或地理來建立

的 OU,要牢記每個 OU 並不會互相包含。這是你需要做的最重要決定之一。當你

在做此決定或修改之前的決定時,你最關切的是此舉會如何影響網路的管理。有個

好消息是 Active Directory 提供許多功能,所以你選擇模型時可以依據特定的企業

需求,而不必受架構限制。