Active Directory 结构 (五)

使用 OU、域和站点的委派和组策略

可以向以下 Active Directory 容器委派管理权限，并建立与组策略的关联：

• 部门
• 域
• 站点

部门是能够向其委派权限和应用组策略的最小 Windows 2000 容器¹⁶。委派和组策略都是 Windows 2000 操作系统的安全功能。本文简要讨论了受结构环境限制的这两种功能，表明 Active Directory 结构决定了该如何使用容器委派和组策略。

通过指派部门、域或站点的管理权限，可以委派对用户和资源的管理。把组策略对象 (GPO) 分配给三种类型容器之一，就可以设置该容器中用户和计算机的桌面配置和安全策略了。下面两个部分详细地讨论了这些问题。

容器委派

在 Windows 2000 操作系统中，“委派”允许更高级别的管理授权机构把对部门、域或站点的特定管理权限授予组（或个人）。这大大减少了对大部分用户拥有绝对权限的管理员的需求数量。使用容器的委派控制功能，可以指定谁有权访问和修改该对象及其子对象。委派是 Active Directory 最重要的安全功能之一。

域和 OU 委派

在 Windows NT 4.0 操作系统中，管理员有时通过创建多个域来委派管理权限，这样就会有几组不同的域管理员。在 Windows 2000 操作系统中，部门比域更容易创建、删除、移动和修改，因而也就更适于委派角色。

要委派管理权限（不是委派站点权限，以后再讨论），可以修改容器的任意访问控制列表 (DACL)¹⁷，将对域或部门的特定权限授予一个组。默认情况下，域管理员 (Domain Admin) 安全组的成员对整个域拥有权限，但您可以将组成员身份限定在数量有限的极可靠管理员之内。要创建权限范围更窄的管理员，可以通过在每个域内创建部门树，并给部门子树的分支委派权限，把权限委派到单位最低层。

域管理员对域中每个对象拥有完全控制权。但是，他们对其他域中的对象没有管理权限¹⁸。

通过使用“Active Directory 用户和计算机”管理单元中可用的“委派控制”向导，可以委派域或部门的管理权限。用右键单击该域或部门，选择“委派控制”，添加要委派控制的组（或用户）；然后委派所列的日常任务，或者创建要委派的自定义任务。可以委派的日常任务在下表中列出。

可以把部门、组和权限结合起来，定义特定组的最恰当管理范围：整个域、部门的一个子目录树或一个部门。例如，您可能想创建部门，使您能够授予对一个部（如财务部门）全部分支的所有用户和计算机帐户的控制权。或者，您可能只想授予部门内某些资源（如计算机帐户）的管理控制权。第三个例子是授予对财务部门的管理控制权，但不授予对计帐部门内任何部门的管理控制权。

因为部门用于管理委派，但自身并不是安全主管，所以由用户对象的父部门说明该用户对象的管理者。但并未说明这个特定用户可以访问哪些资源。

站点委派

可用 Active Directory 站点和服务委派对站点、服务器容器、站点间传输（IP 或 SMTP）或子网的控制权。这些实体之一的委派控制使受委派的管理员能够管理这些实体，但并未给予管理员管理该实体内用户或计算机的能力。

例如，当委派对一个站点的控制权时，既可以委派对所有对象的控制权，也可以委派对该站点上的一个或多个对象的控制权。可以委派控制权的对象包括：用户对象、计算机对象、组对象、打印机对象、部门对象、共享文件夹对象、站点对象、站点链接对象、站点链接桥对象等。然后，就会提示您选择要委派权限的范围（常规、属性特有的或仅仅是特定子对象的创建/删除）。如果指定的是常规范围，就会提示您授予以下一个或多个权限：完全控制、读取、写入、创建所有子对象、删除所有子对象、读取所有属性或写入所有属性。

组策略

在 Windows NT