AD权限委派操作指南(通用)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

ActiveDirectory权限委派操作指南ActiveDirectory权限委派操作指南2013年6月ActiveDirectory权限委派操作指南文档信息1目录文档信息错误!未定义书签。目录1第1章概述.......................................................................................................21.1实施概述..............................................................................................................21.1.1关于委派控制.....................................................................................................21.2实施准备..............................................................................................................21.3实施目标..............................................................................................................21.4实施思路..............................................................................................................2第2章实施步骤................................................................................................32.1安装AD远程管理工具.......................................................................................32.1.1安装KB958830补丁包.......................................................................................32.1.2安装AD远程管理模块......................................................................................42.2委派控制..............................................................................................................72.2.1委派步骤.............................................................................................................72.2.2委派控制的本质...............................................................................................11第3章QA.......................................................................................................223.1Exchange2010角色无法安装.............................................错误!未定义书签。ActiveDirectory权限委派操作指南正文2第1章概述1.1实施概述本文档依据Exchange2007邮件系统升级项目实施准备条件要求,委派各分行管理员进行指定权限的AD管理,本文是根据该项目实施过程标准及规范形成该文档。1.1.1关于委派控制委派范围:在AD中可以委派控制的范围是站点、域、和组织单位合称为:SDOU从管理层面来看,不同的委派范围涉及不同的性质工作。例如:站点上最主要工作就是新建、删除站点、网站连接、子网络等项目。组织单位上最常见的工作,通常是新建、删除用户和计算机帐户、重设密码与应用组策略等。所以说,委派的范围有两重意义,第一,它界定了管辖权的范围,就是说被委派的对象只允许在此范围内行使管理权,第二,它提示了不同性质的工作属性,我们应当针对不同的范围委派的工作。委派对象:在从多AD对象中只有用户、计算机和组可以作为委派控制的对象,此外,该对象不必和授权范围有任何隶属关系。例如:可以将A组织单位委派给B组织单位的成员管理,甚至可以委派给其它域的用户管理。1.2实施准备准备客户端管理机及服务器远程管理工具安装包。客户端管理机须加域1.3实施目标在当前分支机构,如北京、上海、福州等,部署了额外域控,。1.4实施思路1)准备一台管理操作主机,安装管理工具。2)设置管理员相应权限。3)派发管理ou的控制台文件。ActiveDirectory权限委派操作指南正文3第2章实施步骤2.1安装AD远程管理工具[提示:为了避免活动目录域管理员登录后的token被窃取攻击的可能性,用户活动目录域AD远程管理的这台计算机一定要确保它的安全,这可能包括物理隔绝。]2.1.1安装KB958830补丁包双击安装程序弹出提示是否安装KB958830补丁,选择“是”进行安装选择“我接受”,进行更新安装ActiveDirectory权限委派操作指南正文4等待安装完成,点击“完成”退出。2.1.2安装AD远程管理模块(1)安装完KB958830后,打开“控制面板”(2)在“控制面板”里点击“程序”ActiveDirectory权限委派操作指南正文5(3)选择“打开或关闭windows功能”(4)在“远程管理工具”中添加需要的服务,在这里我们添加“AD管理工具”。ActiveDirectory权限委派操作指南正文6(5)点击确定后,进行工具安装。(6)选中之后确定添加,添加完毕后,再点击开始,在管理工具中就可以看到AD的相关管理工具了ActiveDirectory权限委派操作指南正文7(7)打开“ActiveDirectory用户和计算机”,即可浏览到域控信息。2.2委派控制2.2.1委派步骤这里以BJDAG帐号对北京分行的组织单元进行管理员权限委派为例。(1)启动“ActiveDirectory用户和计算机”(ADUC),找到需要委派的OU:北京分行ActiveDirectory权限委派操作指南正文8(2)右击“北京分行”OU,选择菜单:委派控制(3)进入委派控制的配置向导(4)点击“下一步”ActiveDirectory权限委派操作指南正文9(5)点击“添加(A)”按钮,选择需要指派的用户:(6)点击“确定”,并进入下一步,在此我们选择创建自定义任务去委派:ActiveDirectory权限委派操作指南正文10(7)在出现ad对象类型选择,选择只是在这个文件夹中的下列对象用户、组、组织单元三项,并点击“下一步”(8)点击下一步,将权限设为完全控制(9)点击“下一步”完成控制委派向导:ActiveDirectory权限委派操作指南正文112.2.2委派控制的本质AD委派控制本质就是修改AD对象中的ACL,使委派的对象具有相符的权限。查看委派:启动ADUC的高级功能,选择“查看”-“高级功能”右击委派的OU,选择“属性”ActiveDirectory权限委派操作指南正文12在弹出的属性选项中,选择“安全”选项卡:选取安全选项卡中的“高级”属性来验证委派的ACL,我们可以查看到BJDAG配置了关于“组”/“组织单位”/“用户”三个权限项目ActiveDirectory权限委派操作指南正文13选中对应的权限项目,点击“编辑”按钮,显示委派工作的内容。2.2.3删除管理员委派控制向导有一个缺点:只能够用来建立委派工作,但是无法删除或更改委派工作,如果要取消或更改授权的人选或者工作属性,则必须直接修改该对象的ACL。删除方法:右击对应的OU打开其属性,切换到“安全”选项卡,再按编辑就可以修改委派的权限,或者点击删除按钮(1)右键单击选中需要删除管理员的组织单元,选择属性ActiveDirectory权限委派操作指南正文14(2)在弹出的属性选项中,选择“安全”选项卡(3)选中要删除的管理员,点击删除即可。最终点击确定。ActiveDirectory权限委派操作指南正文152.3委派用户管理方式使用服务器远程管理工具登录自定义MMC限定OU访问控制方法:将ActiveDirectory用户和计算机(ADUC)的mmc进行自定义,只把委派用户管理的OU列出,保存后发送给此用户,然后将ADUC所需的文件拷贝的客户端,此用户就可以管理特定OU而无法浏览到其他OU。(1)在DC上,点击开始-运行,输入mmc,确定。添加ADUC管理单元。ActiveDirectory权限委派操作指南正文16找到将委派给用户的OU,右键单击选择从这里创建窗口。将显示整个域的窗口关闭,只留下特定OU的窗口。ActiveDirectory权限委派操作指南正文17在查看-自定义中可以选择用户可以在UI上进行的操作,选择好后确定。ActiveDirectory权限委派操作指南正文18在文件-选项中,将控制台改名(可选),模式改为“用户模式-受限访问,单窗口”。勾选“不要保存对此控制台的更改”,不勾选“允许用户自定义视图”。ActiveDirectory权限委派操作指南正文19将自定义好的mmc保存后发给用户。并将DC上system32文件夹下的adprop.dll、dsadmin.dll和dsprop.dll拷贝到客户端的system32文件夹,然后在客户端运行regsvr32adprop.dll、regsvr32dsadmin.dll和regsvr32dsprop.dll注册这些文件。然后在客户端上安装:这样客户端就可以管理特定OU而无法看到其它OU了。注意:从DC上拷贝文件要和客户端对应,2008R2要拷到Windows7,且32位、64位要对应。ActiveDirectory权限委派操作指南正文20使用BJDAG登录bj-dc01后,将配置文档复制到域控上ActiveDirectory权限委派操作指南正文21ActiveDirectory权限委派操作指南正文22第3章QA3.1暂无

1 / 23
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功