AD学习笔记之四 -- 组织单元授权委派
2014-03-05 17:03
274 查看
学习内容:
1. 对某OU进行授权(简单了解)
2. 域本地组 & 安全组的区别
3. 验证授权
3.1 Win7 中安装AD 管理工具
3.2 验证授权
4. 查看已委派的授权 & 取消委派授权
5. 测试已关闭普通用户将计算机加入域条件下,授予普通用户可将计算机加入域权限是否仍然适用。
当域管理人员平时工作较忙时,可将域管理的一部分工作下放到IT本地管理员或其他用户身上。
例如:允许授权人员添加/修改/删除域用户账户;允许授权人员解锁被锁账户及修改密码等;
1. 对HK OU进行授权
1) 首先先创建一个组,用于集中存放HK 的OU委派用户,注意组作用域需要选择“全局”(因可能其他地区人员仍有可能被赋予HK OU的管理权限,所以将HK 的用户集中放在这个组中)
2)再创建一个组,用于将所有有权限管理HK OU的用户或组集中加入到这个组中。注意要设置为本地域组。(下面将说明本地域组和全局组的区别)
3) 将HK 用户加入到HK_SD组中,将HK_SD组加入到HK_OU_admin 组中。
4) 右键点击 -- 委派控制
5) 指派HK_OU_admin 组有权限授权
6)委派任务分为很多种,这里先不详细研究。
先选择创建/删除和管理用户账户 和 重置用户密码这两项。
下图为自定义委派任务,更加详细了。
之后确认委派的信息,确定就可以了。
2. 域本地组 & 安全组的区别
域本地组:代表的是对某个资源的访问权限。(当涉及到给该组授权时,使用域本地组)
全局组: 根据用户的职责和身份合并用户。(单纯用于集中用户)
AGDLP 策略
A == 用户账户, G == 全局组 , DL == 本地域组 , P == 权限
A --》G --》 DL --》 P 策略
当想为某个组赋予权限时,首先将这些用户集中在不同的全局组中(A --》G),然后将这些全局组加入到一个本地域组中(G --》DL),最后将本地域组加入到相应的权限管理组中。
3. 验证授权
3.1 安装Win7 AD远程管理工具
通过下面的链接下载Win7 AD 远程管理工具
http://www.microsoft.com/zh-cn/download/details.aspx?id=7887
此工具为微软的补丁,需要使用管理员权限安装。
安装完成后,控制面板 -- 程序 -- 打开或关闭Windows 功能
找到远程服务管理工具 -- AD DS 和 AD LDS工具,全部勾选上
3. 打开任务栏和开始菜单属性 -- 开始菜单 -- 自定义 -- 勾选上系统管理工具“在所有程序菜单和开始菜单上显示”
4. 之后便可在管理工具中看到AD 管理工具
3.2 验证授权
可看到Chris Lee 账户可以在HK OU上创建用户,但不能在DL OU上创建用户
4. 查看已委派的授权 & 取消委派权限
1)查看 -- 高级功能
2)点击想查看委派权限的OU,右键属性
3)安全 -- 高级
4)列表中为所有对HK OU具有权限管理的列表(有高级权限的账户可在此处管理添加或删除权限)
5. 测试已关闭普通用户将计算机加入域条件下,授予普通用户可将计算机加入域权限是否仍然适用
首先确认已关闭普通用户将计算机加入域
使用普通用户lisi来测试
可见普通用户已无法将计算机加入域
在DC上为普通用户lisi 授权 注意一定要选择域(xin.adsint.biz)右键 -- 委派控制
选择lisi
勾选将计算机加入域
再次尝试用lisi账户加域
成功
本文出自 “罗西技术博客” 博客,请务必保留此出处http://guoxin123.blog.51cto.com/2360312/1368743
1. 对某OU进行授权(简单了解)
2. 域本地组 & 安全组的区别
3. 验证授权
3.1 Win7 中安装AD 管理工具
3.2 验证授权
4. 查看已委派的授权 & 取消委派授权
5. 测试已关闭普通用户将计算机加入域条件下,授予普通用户可将计算机加入域权限是否仍然适用。
当域管理人员平时工作较忙时,可将域管理的一部分工作下放到IT本地管理员或其他用户身上。
例如:允许授权人员添加/修改/删除域用户账户;允许授权人员解锁被锁账户及修改密码等;
1. 对HK OU进行授权
1) 首先先创建一个组,用于集中存放HK 的OU委派用户,注意组作用域需要选择“全局”(因可能其他地区人员仍有可能被赋予HK OU的管理权限,所以将HK 的用户集中放在这个组中)
2)再创建一个组,用于将所有有权限管理HK OU的用户或组集中加入到这个组中。注意要设置为本地域组。(下面将说明本地域组和全局组的区别)
3) 将HK 用户加入到HK_SD组中,将HK_SD组加入到HK_OU_admin 组中。
4) 右键点击 -- 委派控制
5) 指派HK_OU_admin 组有权限授权
6)委派任务分为很多种,这里先不详细研究。
先选择创建/删除和管理用户账户 和 重置用户密码这两项。
下图为自定义委派任务,更加详细了。
之后确认委派的信息,确定就可以了。
2. 域本地组 & 安全组的区别
域本地组:代表的是对某个资源的访问权限。(当涉及到给该组授权时,使用域本地组)
全局组: 根据用户的职责和身份合并用户。(单纯用于集中用户)
AGDLP 策略
A == 用户账户, G == 全局组 , DL == 本地域组 , P == 权限
A --》G --》 DL --》 P 策略
当想为某个组赋予权限时,首先将这些用户集中在不同的全局组中(A --》G),然后将这些全局组加入到一个本地域组中(G --》DL),最后将本地域组加入到相应的权限管理组中。
3. 验证授权
3.1 安装Win7 AD远程管理工具
通过下面的链接下载Win7 AD 远程管理工具
http://www.microsoft.com/zh-cn/download/details.aspx?id=7887
此工具为微软的补丁,需要使用管理员权限安装。
安装完成后,控制面板 -- 程序 -- 打开或关闭Windows 功能
找到远程服务管理工具 -- AD DS 和 AD LDS工具,全部勾选上
3. 打开任务栏和开始菜单属性 -- 开始菜单 -- 自定义 -- 勾选上系统管理工具“在所有程序菜单和开始菜单上显示”
4. 之后便可在管理工具中看到AD 管理工具
3.2 验证授权
可看到Chris Lee 账户可以在HK OU上创建用户,但不能在DL OU上创建用户
4. 查看已委派的授权 & 取消委派权限
1)查看 -- 高级功能
2)点击想查看委派权限的OU,右键属性
3)安全 -- 高级
4)列表中为所有对HK OU具有权限管理的列表(有高级权限的账户可在此处管理添加或删除权限)
5. 测试已关闭普通用户将计算机加入域条件下,授予普通用户可将计算机加入域权限是否仍然适用
首先确认已关闭普通用户将计算机加入域
使用普通用户lisi来测试
可见普通用户已无法将计算机加入域
在DC上为普通用户lisi 授权 注意一定要选择域(xin.adsint.biz)右键 -- 委派控制
选择lisi
勾选将计算机加入域
再次尝试用lisi账户加域
成功
本文出自 “罗西技术博客” 博客,请务必保留此出处http://guoxin123.blog.51cto.com/2360312/1368743
相关文章推荐
- 【点击模型学习笔记】Ad centric model discovery for redicting ads' click through rate_ANT2013_Tencent
- AD学习笔记6——活动目录下的目录服务
- AD学习笔记12
- 【shiro】shiro 学习笔记4-初识shiro授权
- AD学习笔记7——活动目录的安装准备工作
- AD学习笔记13
- AD学习笔记之三 -- 域控制器上的简单操作介绍
- JAVA-WBE——spring security 3.2 授权jsr250-学习笔记5
- 学习笔记:委派 和 事件(一)
- MySQL学习笔记之二十 授权表的结构
- shiro学习笔记3——组件之授权
- AD存储分配 学习笔记
- 31天重构学习笔记8. 使用委派代替继承
- Mysql DBA 高级运维学习笔记-创建Mysql用户及授权的多种方法实战
- 31天重构学习笔记8. 使用委派代替继承
- Apache Shiro学习笔记(三)用户授权自定义Permission
- java安全框架-Shiro学习笔记(四)-注解式授权+Jsp标签授权
- 31天重构学习笔记8. 使用委派代替继承
- AD 学习笔记之六 --
- 数字证书,SSL,版本授权,HTTP加密学习笔记