我如今有3个站点,BJ、SH、SZ.现在我创建了3个OU,每个站点所有的对象都放在对应的OU下。每个站点都与各自的管理员,如bj_admin、sh_admin、sz_admin

现在我希望做到如下

1:分站点有可以修改、创建自己范围的所有对象,但不能删除

2:每个站点都有个computer的子OU,计算机无论在哪个站点加域,只要输入相应站点管理员的密码,就自动加入到该管理员账号所在的computer这个子OU下

3:每个站点的管理员可以都可以远程和本地登录各自站点的域控(这些管理员只是普通user的权限)

4:如果委派用户通过rdp登陆到域控上,由于该用户也只是一个普通user的权限(尽管委派管理某些OU的权限),那么分站点的域控上如果要装些软件或补丁更新,该如何操作呢?

5:通过权限委派如何限制只可以在添加和删除组成员,而不能删除组呢 您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

6:实现该OU的管理员为他们OU下的用户创建邮箱,为组启用邮件地址。除了在OU下做权限委派外,还需要装一个Exchange的管理控制台就可以是吧。只要OU下作了完全控制的委派,那么该管理员登陆到exchange的控制台就可以为他管理下的ou内的用户创建邮箱,不知道我说的是否正确。

回答:Q: 分站点有可以修改、创建自己范围的所有对象,但不能删除

A: 可以实现,您可以这样:

右键单击OU > 点击properties > 点击 tab 标签 > 点击Advanced > 点击 Add > 添加对应的OU 管理员,赋予除了Delete, Full Control权限意外的所有权限,同时对Delete, Delete subtree权限执行Deny权限。

然后, 我们可以通过Rsat(windows 7)或adminpak(windows Xp)去连接域控制器。

Q: 每个站点都有个computer的子OU,计算机无论在哪个站点加域,只要输入相应站点管理员的密码,就自动加入到该管理员账号所在的computer这个子OU下

A: 这个不能通过此种方式实现,原因是客户端加入Domain时是根据自己的site查找的DNS记录来的。因为,我们可以通过下面的变通的方法:

现在对应的OU中把计算机建立起来,然后在执行加入Domain

Q: 每个站点的管理员可以都可以远程和本地登录各自站点的域控(这些管理员只是普通user的权限)

A: 我们可以通过下面的两个方法实现:

1.       通过Rsat(windows 7)或adminpak(windows Xp)去连接域控制器,您可以通过下面的链接下载:

http://www.microsoft.com/download/en/details.aspx?id=7887 for windows 7

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=16770  for windows XP

2.       通过RDP,但是我们必须要建立额外的两个步骤允许服务器被普通的客户端连接:您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

1)      在Default Domain Controller Policy中把用户加入到下面的设置中:
security settings\local polices\user rights assignment\Allow log on through remote desktop services

2)      在我的电脑高级中把这个用户加入到Remote desktop users中。

 

第4个问题,首先普通用户在正常情况下不能登录DC,如果要登录DC的话我们的特殊设置,已经在上面的post中提出。

对于安装软件和安装补丁的权限是有区别的,对于大部分的补丁程序中的.msi文件的话,普通用户是可以安装的,但是对于.exe文件的话是不能安装的,特别是要改变系统的内核的一些程序。那么我们建议您用系统管理员登录来安装,这样我们可以很好的控制补丁的安装,同时在系统出现问题时,我们也可以很好的做好备份和恢复。

对于软件的安装,如果对于一些只是自己profile的小型软件的话,我们是可以安装的;但是对于修改系统的软件的话,我们就需要一定的权限;但是同样我们也不建议您的DC上安装对应的软件,因为普通用户登录到DC本省就是已经存在系统风险的行为。如果您在运行普通用户安装软件的话,从系统管理层面来讲,不是很安全;如果您一定要普通用户安装的话,您可以通过下面的方法:

1.       在运行软件的时间,右键点击 > 用管理员的身份运行

2.       或者把普通用户加入到对应的有权限的组中,比如power users或是administrators组中。

 

第5个问题,右键点击您要委派的OU,然后点击委派> click Next, > 选择用户 > 在“delegate the following common tasks”中选择 “Modify the membership of a group” 然后点击下一步

那么,达到的效果是:您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

用户只能对现有的组进行添加和删除组成员的操作,而不能删除改组。

 

第6个问题,根据我的测试,您提出的方式是没有办法实现的, 我的测试环境是windows 2008 R2 + Exchange 2010.

虽然我们能够在创建账户的初始阶段,进行引导,但是普通用户没有办法读取数据库,所以没有办法把添加的用户加入到本地的Exchange数据库中。

在最后的测试中,发现,如果您是把这个普通的管理员加入到”Exchange organization administrators”组中时,用户就可以顺利的添加邮件账户和域账户。

Devin Zhang

组织单元OU委派的常见问题的相关文章请参考
电脑加入域如何直接进入某个OU
活动目录组织单元排序规则
没有足够的权限删除OU
组织单元OU委派的常见问题
---gnaw0725