活动目录与Exchange的委派管理
今天在虚拟环境内做了活动目录OU的委派管理和Exchange组织的委派管理实验。 主要思路:新建一个域本地安全组OUAdmin,并将OU和Exchange组织的相应管理权限委派给OUAdmin组,然后再将用户帐号加入该安全组,获得相应管理权限。
小结:
1、新更改了用户权限后,该用户必须重新登录活动目录才能生效;
2、两个站点之间复制并不是马上进行的(我想应该是默认的复制周期没到),通过手动复制才能马上看到效果。
3、委派管理实际上只不过是提供了一个操作向导,其实质是对OU/Domain等对象赋予用户权限。这一点可以通过在ADUC内,点击“查看”-“高级功能”来打开对象的“安全”选项卡。查看“安全”选项卡,就能看到相应的权限设置了。
4、在委派OU管理时,要注意一点:受委派的用户仅仅在被委派的OU内拥有管理员委派的权限。
比如:如果想让某个用户在OU内能新建帐号,加入安全组或通讯组,将计算机加入域。而将计算机加入域,默认是加到Computers容器内的,因此,还要给Computers容器赋予该用户“添加计算机”的权限。相应的,当计算机退出域后,默认并不删除该计算机帐号。当再次以同名将计算机加入域时,系统以用户当前的登录凭证去尝试修改计算机属性。因此,此时还需要赋予该用户拥有修改该计算机属性的权限。
参考文章:
委派Active Directory管理的最佳实践:
http://gnaw0725.blogbus.com/logs/4888502.html
Exchange服务器系列课程之八--委派控制与安全设置
http://chensky.blog.51cto.com/177526/106450
页:
[1]