组织单元的定义

正如LDAP标准的RFC中定义的那样,组织单元OU是逻辑上存储目录信息的容器并且提供了一种通过LDAP寻址ADDS的方法。

在ADDS中,OU是将用户、计算机和其他对象信息组织成更易理解的布局的基本方法。

可以将OU进一步细分为资源OU以便于组织和委托管理

组织单元的设计

ADDS中默认的users和computers并不是技术上的组织单元,在技术上将其定义为Container容器对象

容器对象组织单元不同,所以我们一般将用户和计算机对象从他们的默认容器中转移到OU结构中。

★定义AD组

组成员对于用户是可见的:尽管OU的可见性被限制在使用特殊管理工具的管理员,但是所有参与域活动的用户都可以查看组

多个组中的成员资格:组成员资格并不是独占的,用户可以成为多个组中的任何一个组的成员。

邮件启用组功能:通过分配组和邮件启用的安全组,用户可以向一个组发送电子邮件,并将邮件分发到改组的所有成员。

ADDS组结构

ADDS组分为两类:组类型和组范围

一、组类型:

1、安全组security,向组成员的对象施加权限。

2、分配组distribution,向组成员发送邮件

二、组范围

1、机器本地组:包含来自任何可信任位置的成员

2、域本地组:管理仅仅位于自己域中的资源,包含来自其他任何可信任域中的用户和组

3、全局组:包含仅仅在域中存在但准讯访问其他可信任域中的资源的用户。

适合相似功能的用户账户提供安全成员资格

4、通用组:包含森林中任何域的用户和组并且允许访问森林中任何资源

安全组:

用于向资源全体应用权限,从而可以更容易的管理用户组。安全组有一个与其相关联的唯一安全标识符SID,这类似于ADDS中每个用户拥有的SID。SID唯一性可以用于向域中的对象和资源应用安全措施。

因此:不能简单的删除和重命名组,以便拥有和以前旧的组所维护的相同权限。

★分配组

与成员能够接收发送到该组的采用简单邮件传输协议SMTP的邮件消息。

分配组与邮件启用组不是同一种。

★邮件启用组

ADDS包含一个称为邮件启用组的概念,本质上是通过电子邮件地址引用的安全组。可以用于向组的成员发送SMTP消息。

★机器本地组

机器本地组是操作系统中的组,并且仅仅可以应用到他们所在机器的本地对象。

他们都是默认的本地组:PowerUsers,Administrators和在独立的系统上创建的如此之类的用户。

★域本地组

是老式的WindowsNT本地组的演进

域本地组包含ADDS森林中任何位置成员或者森林外任何可信域中的成员

一个域本地组的成员可以源自于:全局组、用户账户、通用组、其他域本地组

域本地组主要用于对资源的访问,因为不同的域本地组是为了各种资源创建,然后向他们添加其他账户和组。

★全局组

OU的委托管理

在ADDS中创建OU结构最重要的一个原因就是为了将管理权限委托给单独的管理员或者管理组

1、在ActiveDirectoryUsersandComputers对话框中,右击OU选择DelegateControl

2、在welcome下点击next按钮

3、单击Add按钮来选择授权的管理员或者组

4、点击ok

5、在Delegationthefollowingcommontasks下,选择要授予的权限:create,delete。andmanageruseraccounts或者modifythememebershipofagroups

6、点击finish

125215786.png

7、实际上还可以更细的委托一个管理员只能修改电话号码的功能

在如上图的时候选择createacustomtasktodelegate,单击next

8、选中onlythefollowingobjectsinthefolder----选取userobjects

125217620.png

9、在permissions下面选取readandwritephoneandmailoptions,点击next,finish

125219432.png