AD权限委派

AD权限委派

u 案例需求

可以将管理活动目录的一些任务（如重置用户密码、将用户加入到某个组中）委派给其他人吗？

u 知识提示

在管理活动目录的时候，通过委派控制可以将一些管理任务委派给他人执行，比如将用户加入某个组，或者为某个用户重置密码等，可以减轻管理员的工作负担。

案例：某公司设有多个部门，在AD中为每个部门都创建了OU，如销售部、行政部等。系统管理员需要将重置用户密码的任务委派给各个部门的经理。

具体操作步骤如下。

（1）登录到DC，在AD用户和计算机管理工具中右击OU“销售部”，在弹出的菜单中选择“委派控制”命令。

（2）在控制委派向导中添加需要委派任务的账户zhangsan，单击“下一步”按钮，如图1.1所示。

图1.1 选择委派用户

（2）选择需要委派的任务，在此选择“重置用户密码并强制在下次登录时更改密码”，单击“下一步”按钮，如图1.2所示。按照向导完成任务委派即可。

图1.2 选择委派任务

（3）由于普通用户不能登录域控制器，所以需要在用户的计算机上安装活动目录管理工具。

用户使用的是Windows 7系统，所以需要安装“Windows 7 SP1远程服务器管理工具”。安装了该工具后，用户可以在运行Windows 7的计算机上远程管理在Windows Server 2008上已安装的某些角色或功能，如活动目录域服务等。

安装完成该管理工具后，在“控制面板”的“程序”区域，单击“打开或关闭Windows功能”，在“Windows功能”对话框中展开“远程服务器管理工具”，选择安装AD DS工具，如图1.3所示。

图1.3 安装AD DS工具

安装完成后在“开始”菜单中找到“管理工具”，可以看到已经安装成功的AD DS管理工具，如图1.4所示。

图1.4 查看AD DS工具

打开AD用户和计算机管理工具，用户zhangsan可以重置该OU中的账户（lisi）的密码，但是却没有权限执行其他操作，如过禁用帐户，将会出现如图1.5所示错误提示。

图1.5 错误提示

管理员如果想删除委派的任务，可以在AD用户和计算机管理控制台中单击“查看”，在弹出的菜单中选中“高级功能”，如图1.6所示。右击指定的OU，在弹出的菜单中选择 “属性”，然后在该OU的属性窗口的“安全”选项卡中单击“高级”按钮，打开如图1.7所示窗口，选中已委派权限的账户，单击“删除”按钮即可删除该用户的权限。

图1. 6删除委派任务（1）

图1.7 删除委派任务（2）