AD权限委派操作指南(通用)

ActiveDirectory权限委派操作指南ActiveDirectory权限委派操作指南2013年6月ActiveDirectory权限委派操作指南文档信息1目录文档信息错误!未定义书签。目录1第1章概述.......................................................................................................21.1实施概述..............................................................................................................21.1.1关于委派控制.....................................................................................................21.2实施准备..............................................................................................................21.3实施目标..............................................................................................................21.4实施思路..............................................................................................................2第2章实施步骤................................................................................................32.1安装AD远程管理工具.......................................................................................32.1.1安装KB958830补丁包.......................................................................................32.1.2安装AD远程管理模块......................................................................................42.2委派控制..............................................................................................................72.2.1委派步骤.............................................................................................................72.2.2委派控制的本质...............................................................................................11第3章QA.......................................................................................................223.1Exchange2010角色无法安装.............................................错误!未定义书签。ActiveDirectory权限委派操作指南正文2第1章概述1.1实施概述本文档依据Exchange2007邮件系统升级项目实施准备条件要求，委派各分行管理员进行指定权限的AD管理，本文是根据该项目实施过程标准及规范形成该文档。1.1.1关于委派控制委派范围：在AD中可以委派控制的范围是站点、域、和组织单位合称为：SDOU从管理层面来看，不同的委派范围涉及不同的性质工作。例如：站点上最主要工作就是新建、删除站点、网站连接、子网络等项目。组织单位上最常见的工作，通常是新建、删除用户和计算机帐户、重设密码与应用组策略等。所以说，委派的范围有两重意义，第一，它界定了管辖权的范围，就是说被委派的对象只允许在此范围内行使管理权，第二，它提示了不同性质的工作属性，我们应当针对不同的范围委派的工作。委派对象：在从多AD对象中只有用户、计算机和组可以作为委派控制的对象，此外，该对象不必和授权范围有任何隶属关系。例如：可以将A组织单位委派给B组织单位的成员管理，甚至可以委派给其它域的用户管理。1.2实施准备准备客户端管理机及服务器远程管理工具安装包。客户端管理机须加域1.3实施目标在当前分支机构，如北京、上海、福州等，部署了额外域控，。1.4实施思路1)准备一台管理操作主机，安装管理工具。2)设置管理员相应权限。3)派发管理ou的控制台文件。ActiveDirectory权限委派操作指南正文3第2章实施步骤2.1安装AD远程管理工具[提示：为了避免活动目录域管理员登录后的token被窃取攻击的可能性，用户活动目录域AD远程管理的这台计算机一定要确保它的安全，这可能包括物理隔绝。]2.1.1安装KB958830补丁包双击安装程序弹出提示是否安装KB958830补丁，选择“是”进行安装选择“我接受”，进行更新安装ActiveDirectory权限委派操作指南正文4等待安装完成，点击“完成”退出。2.1.2安装AD远程管理模块（1）安装完KB958830后，打开“控制面板”（2）在“控制面板”里点击“程序”ActiveDirectory权限委派操作指南正文5（3）选择“打开或关闭windows功能”（4）在“远程管理工具”中添加需要的服务，在这里我们添加“AD管理工具”。ActiveDirectory权限委派操作指南正文6（5）点击确定后，进行工具安装。（6）选中之后确定添加，添加完毕后，再点击开始，在管理工具中就可以看到AD的相关管理工具了ActiveDirectory权限委派操作指南正文7（7）打开“ActiveDirectory用户和计算机”，即可浏览到域控信息。2.2委派控制2.2.1委派步骤这里以BJDAG帐号对北京分行的组织单元进行管理员权限委派为例。（1）启动“ActiveDirectory用户和计算机”（ADUC），找到需要委派的OU：北京分行ActiveDirectory权限委派操作指南正文8（2）右击“北京分行”OU，选择菜单：委派控制（3）进入委派控制的配置向导（4）点击“下一步”ActiveDirectory权限委派操作指南正文9（5）点击“添加（A）”按钮，选择需要指派的用户：（6）点击“确定”，并进入下一步，在此我们选择创建自定义任务去委派：ActiveDirectory权限委派操作指南正文10（7）在出现ad对象类型选择，选择只是在这个文件夹中的下列对象用户、组、组织单元三项，并点击“下一步”（8）点击下一步，将权限设为完全控制（9）点击“下一步”完成控制委派向导：ActiveDirectory权限委派操作指南正文112.2.2委派控制的本质AD委派控制本质就是修改AD对象中的ACL，使委派的对象具有相符的权限。查看委派：启动ADUC的高级功能，选择“查看”-“高级功能”右击委派的OU，选择“属性”ActiveDirectory权限委派操作指南正文12在弹出的属性选项中，选择“安全”选项卡：选取安全选项卡中的“高级”属性来验证委派的ACL，我们可以查看到BJDAG配置了关于“组”/“组织单位”/“用户”三个权限项目ActiveDirectory权限委派操作指南正文13选中对应的权限项目，点击“编辑”按钮，显示委派工作的内容。2.2.3删除管理员委派控制向导有一个缺点：只能够用来建立委派工作，但是无法删除或更改委派工作，如果要取消或更改授权的人选或者工作属性，则必须直接修改该对象的ACL。删除方法：右击对应的OU打开其属性，切换到“安全”选项卡，再按编辑就可以修改委派的权限，或者点击删除按钮（1）右键单击选中需要删除管理员的组织单元，选择属性ActiveDirectory权限委派操作指南正文14（2）在弹出的属性选项中，选择“安全”选项卡（3）选中要删除的管理员，点击删除即可。最终点击确定。ActiveDirectory权限委派操作指南正文152.3委派用户管理方式使用服务器远程管理工具登录自定义MMC限定OU访问控制方法：将ActiveDirectory用户和计算机（ADUC）的mmc进行自定义，只把委派用户管理的OU列出，保存后发送给此用户，然后将ADUC所需的文件拷贝的客户端，此用户就可以管理特定OU而无法浏览到其他OU。（1）在DC上，点击开始-运行，输入mmc，确定。添加ADUC管理单元。ActiveDirectory权限委派操作指南正文16找到将委派给用户的OU，右键单击选择从这里创建窗口。将显示整个域的窗口关闭，只留下特定OU的窗口。ActiveDirectory权限委派操作指南正文17在查看-自定义中可以选择用户可以在UI上进行的操作，选择好后确定。ActiveDirectory权限委派操作指南正文18在文件-选项中，将控制台改名（可选），模式改为“用户模式-受限访问，单窗口”。勾选“不要保存对此控制台的更改”，不勾选“允许用户自定义视图”。ActiveDirectory权限委派操作指南正文19将自定义好的mmc保存后发给用户。并将DC上system32文件夹下的adprop.dll、dsadmin.dll和dsprop.dll拷贝到客户端的system32文件夹，然后在客户端运行regsvr32adprop.dll、regsvr32dsadmin.dll和regsvr32dsprop.dll注册这些文件。然后在客户端上安装：这样客户端就可以管理特定OU而无法看到其它OU了。注意：从DC上拷贝文件要和客户端对应，2008R2要拷到Windows7，且32位、64位要对应。ActiveDirectory权限委派操作指南正文20使用BJDAG登录bj-dc01后，将配置文档复制到域控上ActiveDirectory权限委派操作指南正文21ActiveDirectory权限委派操作指南正文22第3章QA3.1暂无