AD权限委派

u 案例需求

可以将管理活动目录的一些任务(如重置用户密码、将用户加入到某个组中)委派给其他人吗?

u 知识提示

在管理活动目录的时候,通过委派控制可以将一些管理任务委派给他人执行,比如将用户加入某个组,或者为某个用户重置密码等,可以减轻管理员的工作负担。

案例:某公司设有多个部门,在AD中为每个部门都创建了OU,如销售部、行政部等。系统管理员需要将重置用户密码的任务委派给各个部门的经理。

具体操作步骤如下。

(1)登录到DC,在AD用户和计算机管理工具中右击OU“销售部”,在弹出的菜单中选择“委派控制”命令。

(2)在控制委派向导中添加需要委派任务的账户zhangsan,单击“下一步”按钮,如图1.1所示。

AD权限委派_第1张图片

图1.1 选择委派用户

(2)选择需要委派的任务,在此选择“重置用户密码并强制在下次登录时更改密码”,单击“下一步”按钮,如图1.2所示。按照向导完成任务委派即可。

AD权限委派_第2张图片

图1.2 选择委派任务

(3)由于普通用户不能登录域控制器,所以需要在用户的计算机上安装活动目录管理工具。

用户使用的是Windows 7系统,所以需要安装“Windows 7 SP1远程服务器管理工具”。安装了该工具后,用户可以在运行Windows 7的计算机上远程管理在Windows Server 2008上已安装的某些角色或功能,如活动目录域服务等。

安装完成该管理工具后,在“控制面板”的“程序”区域,单击“打开或关闭Windows功能”,在“Windows功能”对话框中展开“远程服务器管理工具”,选择安装AD DS工具,如图1.3所示。

AD权限委派_第3张图片

图1.3 安装AD DS工具

安装完成后在“开始”菜单中找到“管理工具”,可以看到已经安装成功的AD DS管理工具,如图1.4所示。

AD权限委派_第4张图片

图1.4 查看AD DS工具

打开AD用户和计算机管理工具,用户zhangsan可以重置该OU中的账户(lisi)的密码,但是却没有权限执行其他操作,如过禁用帐户,将会出现如图1.5所示错误提示。

AD权限委派_第5张图片

图1.5 错误提示

管理员如果想删除委派的任务,可以在AD用户和计算机管理控制台中单击“查看”,在弹出的菜单中选中“高级功能”,如图1.6所示。右击指定的OU,在弹出的菜单中选择 “属性”,然后在该OU的属性窗口的“安全”选项卡中单击“高级”按钮,打开如图1.7所示窗口,选中已委派权限的账户,单击“删除”按钮即可删除该用户的权限。

AD权限委派_第6张图片

图1. 6删除委派任务(1)

AD权限委派_第7张图片

图1.7 删除委派任务(2)