20、活动目录对象的管理与故障排除

活动目录对象的管理与故障排除

1. OU 故障排除

通常情况下，使用组织单位（OU）应该是直接且相对轻松的。只要进行充分的规划，就能为 OU 对象实现一个直观且实用的结构。不过，OU 配置中最常见的问题与 OU 结构有关。在对 OU 进行故障排除时，需要特别关注以下因素：
- 继承 ：默认情况下，组策略和其他设置会自动从父 OU 传递到子 OU 和对象。即使某个特定的 OU 没有被授予一组权限，该 OU 内的对象仍可能从父对象那里获得这些权限。
- 管理委派 ：如果允许错误的用户账户或组在 OU 上执行特定任务，可能会违反公司的安全策略。因此，务必验证在每个 OU 级别所做的委派。

在 Windows NT 4.0 域环境中，网络设置了多个域。出于安全、性能和管理分布的原因，每个主要办公室的计算资源都放在各自的域中。现在决定迁移到 Active Directory 并将众多 Windows NT 域合并为一个 Active Directory 域。但安全管理分布式环境仍然是一个重要问题，挑战在于确定如何协调不同系统管理员的工作。

幸运的是，通过正确使用 OU 和委派，可以在确定如何处理管理方面获得很大的灵活性。可以通过以下几种方式构建管理结构：
- 基于地理业务结构创建 OU ：可以根据各种系统管理员的工作职责委派对这些 OU 的控制权。例如，可以使用一个用户账户来管理欧洲 OU。在欧洲 OU 内，该系统管理员可以委派对巴黎和伦敦 OU 所代表的办公室的控制权。在这些 OU 内，还可以进一步细分打印机队列操作员和安全管理员的管理职责。 <