本文介绍了OU组织单位的概念,它作为域中的逻辑容器,用于管理用户、计算机和其他对象。OU不同于普通的容器,因为它可以应用组策略。与组的主要区别在于,组是权限集合,而OU是管理对象的集合。还详细阐述了如何委派OU的控制权限,以及如何查询和创建OU及域用户账号。通过OU,网络管理员能更高效地管理企业域环境。
目录
OU组织单位
组织单位(Organization Unit,OU)是一个容器对象,将域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。 在企业域环境里面,我们经常看到按照部分划分的一个个OU。
OU跟容器的区别
组织单位(OU)是专用容器,与常规容器的区别在于管理员可以将组策略应用于OU,然后系统将其下推到OU中的所有计算机。您不能将组策略应用于容器。需要注意的是CN=Computers是一个普通容器,而OU=Domain Controllers是一个OU,因此可以可以将组策略应该于Domain Controllers,而不可以将组策略应用于Computers。
OU跟组的区别
组织单位跟组是两个完全不同的概念。很多人经常会把这两个弄混。组是权限的集合。OU是管理对象的集合。举个前面举过的例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。比如我们需要对财务部里面的用户进行统一管理,那我们可以设置个OU,然后把财务部的用户拉近这个OU,这样就可以进行集中管理,比如说下发组策略。说通俗点,组是管理的集合,OU是被管理的集合。
OU委派
考虑这样一种需求,如果我们想允许某个用户把其他用户拉入OU,而不赋予这个用户域管权限,我们可以在这个OU给这个用户委派 添加成员的权限。组织单位的委派其实就是赋予某个域内用户对OU的某些管理权限。这些权限体现在ACL里面。
右键 OU——>委派控制
OU查询
所有的OU都是organizationalUnit类的实例,因此我们可以用(objectClass=organizationalUnit)或者(objectCategory=organizationalUnit)来过滤OU。
adfind.exe -s subtree -b dc=xie,dc=com -f "(objectClass=organizationalUnit)" -dn
或
adfind.exe -s subtree -b dc=xie,dc=com -f "(objectCategory=organizationalUnit)" -dn
如要要查询OU里面的账户,可以指定BaseDN为OU就行
adfind.exe -s subtree -b "OU=技术部,DC=xie,DC=com" -dn
创建组织单元和域用户账号
开始——>管理工具——>Active Directory用户和计算机,右键域名——>新建——>组织单位
填入要创建的组织单位的名字,然后确定即可。
往组织单位中添加用户,右键组织单位名——>新建——>用户
填入用户的一些信息
填入用户的密码
点击完成即可
可以看到已经在技术部组织单位中新建了用户张三
如果想跟我一起讨论的话,就快加入我的知识星球吧。星球里有一千多位同样爱好安全技术的小伙伴一起交流!知识星球 | 深度连接铁杆粉丝,运营高品质社群,知识变现的工具
扫一扫
6464
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
