组织单位就是一个比域还小的管理单位,能够发挥“分层自治,授权自治”的优点。
组织单位有以下特性:
1、组织单位是一种容器:它可以包含9种对象:用户、计算机、组、打印机、共享文件夹、联系人、组织单位、INETORGPERSON、MSMQ路由别名。但要注意,组织单位只能包含同一域内的对象,不能够包含其它域的对象。
2、组织单位可以组成层次化结构。
3、使用组织单位的电时机:通常是为了授权管理而建立组织单位。例如:业务部门的人事变动较频繁,因此常常要求系统管理员为他们删除、更改和建立帐户。于是系统管理员便建立“业务部”这个组织单位,将业务部的全部用户与计算机都隶属于该组织单位,并赋予业务部经理新建、删除、与修改用户帐户和计算机帐户的权力。以后该部门的帐户变动就不用麻烦系统管理员了,因此,“建立组织单位”和“授权”可说是非常密切的关系。
4、组织单位与组的差异:1、一个用户可以可以隶属于多个组,但是只能够隶属于一个组织单位。2、组织单位可以包含组,但是组内不能够包含组织单位。3、对网络资源设置权限时,可以设给组,但是不能够设给组织单位。
下面来看
规划组织单位
1依地理区域划分。
![](https://i-blog.csdnimg.cn/blog_migrate/185a85e2f6c42638eb6aaf4061462a44.jpeg)
2、依管理区域划分
![](https://i-blog.csdnimg.cn/blog_migrate/27ba04ed23422d5374ce8717a9c47417.jpeg)
3、依事业单位划分
![](https://i-blog.csdnimg.cn/blog_migrate/15e11541b518e420060fdf8fe8e66e17.jpeg)
4、依专案内容划分
![](https://i-blog.csdnimg.cn/blog_migrate/b4d295673f2ca113aea6ccede4d36743.jpeg)
5、依部门组织划分
![](https://i-blog.csdnimg.cn/blog_migrate/d9ee7b5ca8952e14dedef9698e7c382c.jpeg)
6、依对象类型划分
![](https://i-blog.csdnimg.cn/blog_migrate/ef26926a3d15bd5405f94b79101b0127.jpeg)
7、混合式划分
![](https://i-blog.csdnimg.cn/blog_migrate/5d1cb68e2f0f17e0ea590e86ab879b5f.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/5848ed4dcfe70937b72a25db0b7d27fc.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/e99f58ad908da092fb38640daaf9f741.jpeg)
下面来看
管理组织单位
新建组织单位
![](https://i-blog.csdnimg.cn/blog_migrate/35fd55f4f5b0de3f0b4d95b361557a75.jpeg)
右击-新建。
![](https://i-blog.csdnimg.cn/blog_migrate/2fb77c753abb2d44062170e88b6b905d.jpeg)
填写名称
![](https://i-blog.csdnimg.cn/blog_migrate/81eb6d5d93aea953fe70ab0053c74a69.jpeg)
已建立好。
![](https://i-blog.csdnimg.cn/blog_migrate/95b1c09c86431b0feb84f7138aaff308.jpeg)
来看移动组织单位,点人事处这个组织单位,将移到总管理处。
![](https://i-blog.csdnimg.cn/blog_migrate/a782bd30f6f3b174d2d6b1aed2b5668e.jpeg)
已移入总管理处。
![](https://i-blog.csdnimg.cn/blog_migrate/1631564110aa07ba2fa427c894b39e65.jpeg)
重新命名,点右键-重命名。
下面来看管理组织单位的成员
![](https://i-blog.csdnimg.cn/blog_migrate/01eec113d9b669a62d637369614572e7.jpeg)
新建用户
![](https://i-blog.csdnimg.cn/blog_migrate/22b03ae1c360d55fd6e98ec3158e619e.jpeg)
这里以下的操作之前都详细做过,在这里就不做下去了。
下面来看新建计算机
![](https://i-blog.csdnimg.cn/blog_migrate/77b2caba8f26aa6b19028a25e4a9be46.jpeg)
这里建名为MING的计算机
![](https://i-blog.csdnimg.cn/blog_migrate/97fc5747f061e070bfdff73e9389b264.jpeg)
下一步
![](https://i-blog.csdnimg.cn/blog_migrate/6a36a5bb439fe5f51531dc7cd5bb293e.jpeg)
完成。
![](https://i-blog.csdnimg.cn/blog_migrate/c2a91f3db6a89f345cb9d77f0927ee4e.jpeg)
下面来移动组织单位的成员
![](https://i-blog.csdnimg.cn/blog_migrate/8482ca8c4627c62febf44f1676f65c4f.jpeg)
将这个帐户移动总管理处
![](https://i-blog.csdnimg.cn/blog_migrate/0a17c75cda8ba20160ca206b72fd0428.jpeg)
右击移动。
![](https://i-blog.csdnimg.cn/blog_migrate/fa26c5de008d6daa5a4f29d3ca363565.jpeg)
便可以看到结果了。
下面来看
委派控制
委派范围:在AD中可以委派控制的范围是站点、域、和组织单位合称为:SDOU
从管理层面来看,不同的委派范围涉及不同的性质工作。例如:站点上最主要工作就是新建、删除站点、网站连接、子网络等项目。组织单位上最常见的工作,通常是新建、删除用户和计算机帐户、重设密码与应用组策略等。所以说,委派的范围有两重意义,第一,它界定了管辖权的范围,就是说被委派的对象只允许在此范围内行使管理权,第二,它提示了不同性质的工作属性,我们应当针对不同的范围委派的工作。
委派对象:在从多AD对象中只有用户、计算机和组可以作为委派控制的对象,此外,该对象不必和授权范围有任何隶属关系。例如:可以将A组织单位委派给B组织单位的成员管理,甚至可以委派给其它域的用户管理。
委派内容:假设李小龙在总管理处对打印机有完全控制能力
![](https://i-blog.csdnimg.cn/blog_migrate/6593f2aab9c0a5eaafa9c21eb4c33817.jpeg)
右击
![](https://i-blog.csdnimg.cn/blog_migrate/abb4dd008ab976f98c9a3fc4551fe21d.jpeg)
下一步
![](https://i-blog.csdnimg.cn/blog_migrate/d762c911528edd42bc0638d69226c311.jpeg)
按添加
![](https://i-blog.csdnimg.cn/blog_migrate/3243766266afb41f1919b08a794d033d.jpeg)
确定
![](https://i-blog.csdnimg.cn/blog_migrate/0cd07a30f5c4e0b12a3c828d45716cde.jpeg)
下一步
![](https://i-blog.csdnimg.cn/blog_migrate/c331098c1f248b427187d947e791f7bd.jpeg)
下一步
![](https://i-blog.csdnimg.cn/blog_migrate/15f2b7c4471999427f06e4649b2fa2bf.jpeg)
下一步
![](https://i-blog.csdnimg.cn/blog_migrate/fb939321734c45bd35f7c1216d527aad.jpeg)
完成
下面来看委派控制的本质
委派控制其实就是修改AD对象中的ACL,使委派的对象具有相符的权限。
![](https://i-blog.csdnimg.cn/blog_migrate/2dac39743c22458292c3309cfea9f5e3.jpeg)
查看高级功能
![](https://i-blog.csdnimg.cn/blog_migrate/b95088ab2b57a4bd488702e8c2f4a4f9.jpeg)
在总管理处执行-属性。验证委派的ACL。
![](https://i-blog.csdnimg.cn/blog_migrate/c071b1b308b8fb516178af37582b03d7.jpeg)
选高级,显示委派工作的内容。
![](https://i-blog.csdnimg.cn/blog_migrate/609024c16cb7830b9241360cc2ea235d.jpeg)
委派控制向导有一个缺点:只能够用来建立委派工作,但是无法删除或更改委派工作,如果要取消或更改授权的人选或者工作属性,则必须直接修改该对象的ACL。执行总管理处右击,切换到安全,再按编辑就可以修改委派的权限。
结束
转载于:https://blog.51cto.com/ming228/95095