第四章 实现活动目录的物理结构.pdf

42 MCSE2000 系列 Designing a Microsoft Windows 2000 Directory Services Infrastructure 第四章 实现活动目录的物理结构 内容摘要 内容摘要 在实现了使用活动目录的逻辑结构来组织网络资源以后 接下来的任务就是如何使用户 方便快捷的找到他们所需要的资源 这可以通过活动目录的物理结构来实现 通过使用站点 和站点链接 用户可以快速地在本地实现登陆和资源访问 通过本章学习 您将了解到以下 内容 站点的概念和作用 目录复制的内容 目录复制的类型 复制机制 站点的规划 考点提示 考点提示 选择复制协议 复制参数 站点内和站点间复制的过程 规划多个站点 4 1 站点 Site 的概念 4 1 站点 Site 的概念 活动目录的物理结构是通过站点来实现的 用户可以将基于 Windows 2000 的 站点 看作是 用局域网 LAN 技术连接的一个或多个 IP 子网上的一组计算机 或由高速主干 网连接的一组 LAN 一个站点内的计算机需要良好的连接 这通常也是子网上计算机的一个 特征 相反 独立的站点之间可用速度比 LAN 慢的链接相连 可用 活动目录站点和服务 工 具 配置站点内 在一个 LAN 中或一组连接较好的 LAN 中 的连接以及站点之间的连接 在 一个 WAN 内 4 2 站点在 Windows 2000 网络中的作用 4 2 站点在 Windows 2000 网络中的作用 在 Windows 2000 操作系统中 用户使用站点来使服务器和网络客户的相关操作都能在 本地进行 而不需要跨越广域网 WAN 例如登录认证 保证一个本地域控制器可用 目录复制 DFS 复制和查找打印机 在 Windows 2000 操作系统中 站点提供以下服务 客户机可以向同一站点的域控制器 如果有一个域控制器 请求服务 活动目录会尽量将站内复制的复制延迟降至最小 活动目录会尽量将站间复制的带宽消耗降至最小 站点允许您安排站间复制的进程 用户和服务应该能够随时通过目录林的任何计算机访问目录信息 为此 必须把目录数 据的添加 修改和删除等操作由起始域控制器中继 复制 到目录林的其他域控制器中 但 是 必须保持广泛分发目录信息的需求与优化网络性能的需求之间的平衡 站点有助于保 持这种平衡 上海南洋微电子公司版权所有 第四章 实现活动目录的物理结构 43 下面来看活动目录是如何使用站点信息的 可先用 活动目录站点和服务 管理工具指定 站点信息 然后 活动目录就可用此信息来确定如何以最佳方式使用可用的网络资源 使用 站点可提高以下类型操作的效率 处理客户机请求 当客户机向域控制器请求服务时 它会直接把请求发送给同一站点的 域控制器 如有一个可用的域控制器 选择与发出请求的客户机连接良好的域控制器 将会提高处理此类请求的效率 例如 当客户机使用域帐户登录时 登录机制会首先查 找与客户机在同一站点的域控制器 通过比较本机的子网掩码 subnet 和站点中定义 的子网掩码 因为先使用了客户机所在站点的域控制器 使网络通信能在本地进行 从而提高了身份验证过程的效率 注意 注意 如果用户定义的站点中一个可用的域控制器也没有 则用户可能使用它能发现的 任何可用的域控制器 复制目录数据 站点可启用站点内和站点间的目录数据复制 Active Directory 在站 点内复制信息要比站点间复制频繁得多 这意味着 连接最好的域控制器 可能是最需 要特定目录信息的域控制器 会最先收到复制 其他站点的域控制器接收目录更改的所 有信息 但不频繁 这样就减少了网络带宽消耗 在域控制器之间复制活动目录数据 提供了数据的可用性 容错能力 负载平衡 并提高了性能 域控制器 全局编录和复 制数据 4 3 站点和域 4 3 站点和域 了解站点独立于域这一概念 是很重要的 站点映射网络的物理结构 而域 如果使用 不止一个域 一般映射单位的逻辑结构 逻辑结构和物理结构彼此独立 并因此产生以下结 果 站点和域名称空间之间没有必然的联系 网络的物理结构和域结构之间也没有必然的关联 但是 在很多单位中 创建的域反映 了物理网络结构 这是因为 域是分区 而分区可影响复制 通过将目录林分成多个更 小的域 可减少复制通信量 活动目录允许在一个站点出现多个域 以及一个域出现在多个站点中 4 4 目录复制 4 4 目录复制 4 4 1 复制内容 4 4 1 复制内容 活动目录使用多主机复制使目录信息在域中所有的域控制器中保持一致 保存于每个域 控制器 无论是否为全局编录服务器 的活动目录中的信息分为以下三个类别 域 架构和 配置数据 每个类别都放在一个独立的目录分区中 又称 命名上下文 这些目录分区是 复制单元 每个活动目录服务器所包含的这三个目录分区定义如下 域数据目录分区 域数据目录分区包含该域目录中的所有对象 每个域的域数据均 复制到该域的各个域控制器中 而不复制到域外的控制器 架构数据目录分区 架构数据目录分区包含在活动目录中创建的所有对象类型 及 交大南洋远程教育系列教材 44 MCSE2000 系列 Designing a Microsoft Windows 2000 Directory Services Infrastructure 其属性 这些数据在域目录树或目录林中的所有域中是公用的 架构数据将复制 到目录林中的所有域控制器 配置数据目录分区 配置数据目录分区包含了复制拓扑结构和相关的元数据 支持 活动目录的应用程序将信息保存于配置目录分区中 这些数据在域目录树或目录林 中的所有域中是公用的 配置数据将会复制到目录林中的所有域控制器 如果域控制器是一个全局编录服务器 它还保存第四种类别的信息 所有域的域数据目录分区的部分副本 除了为其主域存储和复制了目录中的全部一整套 对象外 全局编录服务器还为目录林中的其他域存储和复制了域目录分区的部分副本 按照其定义 此部分副本包含目录林所有域的全部对象的一个属性子集 部分副本是 只读的 而完整副本是可读 写的 如果一个域包含全局编录 其他域控制器就会将该域的所有对象 及对象属性的子集 复制到全局编录 然后在全局编录之间进行部分副本复制 如果域没有全局编录 就用普通 域控制器作为部分副本的源 默认情况下 存储在全局编录中的部分属性集包括搜索操作中最常使用的那些属性 这 是因为全局编录的主要功能之一就是支持客户机查询目录 由于用全局编录执行部分域复 制 而不是完全域复制 从而减少了 WAN 通信量 4 4 2 复制类型 4 4 2 复制类型 站点内的复制 如果网络是由一个局域网 LAN 或由通过主干网连接的一组 LAN 组成 整个网络就可 以成为单个站点 最先安装的域控制器会自动创建第一个站点 称为 默认初始站点 安 装完第一个域控制器后 其他所有域控制器就会被自动添至与初始控制器相同的站点上 之 后 如果想移动 也可以将它们移到其他站点 唯一例外的是 安装一个域控制器时 如 果其 IP 地址落在先前指定的另一个站点的子网上 该域控制器就会加到该站点上 站点内目录信息的复制是频繁的 自动进行的 调整站点内复制会使复制延迟降至最小 即 会使数据尽可能保持最新状态 站点内的目录更新不进行压缩 解压缩交换虽然需要的 域控制器处理能力较小 但耗用更多的网络资源 单域复制 下图 描述了站点内的复制 三个域控制器 其中一个是全局编录 复制了目录林的架 构数据和配置数据 以及所有目录对象 包括每个对象的一整套属性 上海南洋微电子公司版权所有 第四章 实现活动目录的物理结构 45 4 1 单域复制 用于域控制器间复制目录信息的连接所形成的配置称为 复制拓扑 它由活动目录中 的 知识一致性检查器 KCC 服务自动生成 活动目录站点拓扑是物理网络的逻辑表示 它 是以每个目录林为基准定义的 活动目录使用KCC试着建立了一种拓扑结构 允许每个域控 制器至少有两个连接 这样 即使一个域控制器无法使用 目录信息还可以通过另一个连接 到达所有联机域控制器 活动目录会自动评估和调整复制拓扑 以适应不断变化的网络状况 例如 当一个域控 制器添至站点时 复制拓扑会调整为能够有效合并新的添加项 活动目录客户和服务器使用目录林的站点拓扑 有效地路由查询和复制通信 多域复制 如果是从一个域的初始域控制器扩展到多个域的多个域控制器 仍在一个站点内 则 复制的目录信息会发生变化 会包括不同域全局编录之间的部分副本复制 下图 显示了两 个域 每个域都包含三个域控制器 每个站点的一个域控制器还用作全局编录服务器 在 每个域内 域控制器复制了目录林的架构数据和配置数据 以及所有目录对象 包括每个对 象的一整套属性 此外 每个全局编录还把所在域的目录对象 及这些对象属性的一个子 集 复制到其他全局编录 交大南洋远程教育系列教材 46 MCSE2000 系列 Designing a Microsoft Windows 2000 Directory Services Infrastructure 4 2 多域复制 站点内复制通过使用一个更改通知机制实现 当一个更改被执行时 一个域控制器等待 一个可配置的时间间隔 默认为5分钟 在这期间接收更多的更改 然后发送一个通知到 他的复制伙伴 由他接受更改 如果在可配置周期内 默认为6小时 没有更新被执行 则域控制器初始化一个复制序列以确保它没有遗漏任何东西 站点内复制的特点 使用IP 协议 数据不压缩 由KCC自动生成复制拓扑 安全性敏感的属性如用户账户的封锁 lockout 密码的改变 计算机账户的改变等 变化后立即被复制 并通知复制伙伴 站点间的复制 可创建多个站点 以优化 WAN 链接上的服务器到服务器 客户机到服务器的通信 在 Windows 2000 操作系统中 站点间的复制可自动将站点间的带宽消耗降至最小 站点是如何连接的 站点间的连接用 站点链接 site link 表示 站点链接是两个或多个站点之间的 低带宽或不可靠的网络连接 连接两个快速网络的 WAN 就是站点链接的一个例子 通常 对于任意两个网络 当其通过速度低于 LAN 的链接连接时 就认为这两个网络是通过站点 链接连接的 另外 接近容量极限的快速链接带宽效率低 也视为站点链接 当有多个站点 时 由站点链接连接的站点就变成复制拓扑的一部分 在基于 Windows 2000 的网络中不能自动生成站点链接 必须用 活动目录站点和服务 管理工具创建 通过创建站点链接 并配置其复制可用性 相对成本和复制频率 您可以为 活动目录提供一些信息 这些信息是关于需要创建哪些 连接对象 来复制目录数据的 活 动目录用站点链接作为指示器 指示应该在什么位置创建 连接对象 以及 连接对象 会在什么位置用实际的网络连接来交换目录信息 站点链接有一个相关的日程安排 指出在一天的什么时间链接可用于传送复制通信 站点链接的特点 默认情况下 站点链接是可传递的 这意味着 一个站点中的域控制器可以与任何其他 站点的域控制器进行复制连接 也就是说 如果站点 A 与站点 B 相连 站点 B 与站点 C 相 连 那么站点 A 的域控制器可以与站点 C 的域控制器进行通讯 创建站点时 您可能想创 建其他链接 用于启用站点间的特定连接 并自定义连接这些站点的现有站点链接 此时 可传递性就会发挥作用 下图显示了由一个站点链接连接的两个站点 在图中的六个域控制器中 两个是桥头服 务器bridgehead 桥头服务器是由系统自动指派的 也可以由用户指定 上海南洋微电子公司版权所有 第四章 实现活动目录的物理结构 47 4 3 由一个站点链接连接的两个站点 桥头服务器是复制使用的首选服务器 但也可以配置站点中的其他域控制器来复制站点 间的目录更改 将更新由一个站点复制到另一个站点的桥头服务器后 就可以通过站点内复制 把更新 复制到站点内的其他域控制器了 尽管只有一个域控制器收到了初始站点间的目录更新 但 所有域控制器均会处理客户机请求 站点间复制不使用更改通知机制 通过定义桥头服务器来实现 以下总结站点内和站点间复制的过程 site A site B site B site A site B site B DC4 BRIDGE SERVER DC5 DC6 DC1 BRIDGE SERVER DC2 DC3 当站点 A 中 DC1 的对象属性改变时 DC1 通知 NOTICE 站点中其它 DC 复制该属性变 化 并通过桥头服务器 DC1 将该属性变化复制 SEND 到站点 B 中的桥头服务器 DC4 中 DC4 通知站点 B 中其它 DC 复制该属性变化 注意 注意 只有站点内的复制使用通知 NOTICE 进程 站点链接桥 site link bridge 站点链接桥用来把两个或多个站点链接在一起 并模拟网络的路由行为 默任情况下 所有站点链接是可传递的 这意味着在一个完全路由的网络中不需要站点链接桥 但如果用 户的 IP 网络不是完全路由的 则 IP 传输的传递链路特性被关闭 这将导致所有 IP 站点链 接被认为非传递性的 并且需要配置站点链接桥来模拟网络的路由行为 一个特定的站点间传输的站点链接桥对象 通过制定两个或多个站点链接被建立 如 站点链接 AB 通过一个费用为 3 的 IP 连结站点 A 和 B 站点链接 BC 通过一个费用为 4 的 IP 连结站点 B 和 C 站点链接桥 ABC 连结 AB 和 BC 站点链接桥ABC隐含一个IP信息能从站点A 发送到站点C 其费用为3 4 7 交大南洋远程教育系列教材 48 MCSE2000 系列 Designing a Microsoft Windows 2000 Directory Services Infrastructure 在一个桥中的每个站点链接需要有一个与该桥中另一个站点链接公共的站点 如果没 有 该桥不能计算从该链路中的站点到桥中的另一个链路中的站点的费用 相同传输的多个站点链接桥共同工作来模拟多转发路由选择 添加下面的对象到前面的 例子中 站点链接 DA 通过一个费用为 2 的 IP 连结站点 D 和 A 站点链接桥 DAB 连结 DA 和 AB 现在站点链接桥 DAB 和 ABC 一起隐含一个 IP 信息从站点 D 发送到站点 C 其费用为 2 3 4 9 站点间复制的特点 使用IP或SMTP 协议 数据压缩 安全性敏感的属性变化后不被立即被复制 4 4 3 复制协议 4 4 3 复制协议 可用以下网络协议 交换目录信息 IP 复制 IP 复制用远程过程调用 RPC 在站点内及通过站点链接 站点间 进行复 制 默认情况下 站点间的 IP 复制遵循复制日程按排 IP 复制不需要证书颁发机构 CA SMTP 复制 如果有一站点没有到网络其他部分的物理连接 但可通过简单邮件传输协 议 SMTP 来访问 则该站点仅有基于邮件的连接 SMTP 复制仅用于站点间复制 不 能在同一域的域控制器之间用 SMTP 复制执行复制 SMTP 仅支持域间复制 即 SMTP 仅 用于站点间 域间复制 SMTP 复制仅用于架构 配置和全局编录的部分副本复制 SMTP 复制遵守自动生成的复制日程安排 如果要在站点链接上使用 SMTP 则必须安装和配备一个企业证书颁发机构 CA 域控 制器先从 CA 获取证书 然后用该证书来签名和加密含目录复制信息的邮件消息 从而保证 了目录更新的可靠性 SMTP 复制使用 56 位加密 4 4 4 复制机制 4 4 4 复制机制 多主机复制 活动目录域控制器支持多主机复制 这样即可同步处理每个域控制器上的数据 并能够 始终保证数据的一致性 多主机复制在对等域控制器之间复制活动目录信息 其中的每个域 控制器均有此目录的可读写副本 这一点与 Windows NT Server 操作系统不同 后者只有 PDC 有目录的可读写副本 BDC 仅从 PDC 收到只读副本 只要经过配置 复制即可自动 执行并且是透明的 更新传播和更新顺序编号 有的目录服务用时间戳来检测和传播更改 在这些系统中 使所有目录服务器的时钟保 持同步至关重要 但在网络中很难保持时间同步 即使网络时间同步非常好 某个目录服务 器的时间还是有可能设置错误 这就会造成更新丢失 与之相反 活动目录复制系统并不依赖时间进行更新传播 而是用更新顺序编号 USN USN 是一个 64 位数 每个活动目录域控制器通过跟踪更新来维护 USN 当服务器对活动目 录对象的任何属性进行写操作 包括起始写操作或重复的写操作 时 USN 就会增大 并与更 上海南洋微电子公司版权所有 第四章 实现活动目录的物理结构 49 新的属性以及域控制器特有的属性保存在一起 此操作自动执行 也就是说 无论成败 USN 的增加和存储与写入属性值的过程都是作为一个单元来执行的 每个基于活动目录的服务器也会维护从其他复制伙伴收到的一张 USN 表 从每个伙伴 收到的最大 USN 就保存在这张表中 当某个给定的伙伴通知目录服务器需要进行复制时 该服务器会申请比最后收到值大的 USN 的所有更改 这种简单方法不依赖时间戳的准确 性 因为保存在表中的 USN 会随着接收的每个更新而自动更新 所以失败后恢复也很容易 要重新开始复制 服务器只须向它的伙伴申请所有 USN 值比表中最后一个有效项大的更改 即可 因为表会随着所应用的更改自动更新 所以被中断的复制周期总是从停止的地方重新 开始 而不会导致更新丢失或重复 冲突检测和属性版本号 在多主机复制系统 如活动目录 中 同一个属性可能以两个或多个不同副本进行更新 如果第一个副本的更改尚未完全传播 而第二 或第三 或第四等 副本中的属性就发生了 变化 则会引发冲突 可用属性版本号来检测冲突 与 USN 不同 它是服务器特有的值 属性版本号只用于活动目录对象的属性 当属性第一次写入活动目录对象时 属性版本号初 始化 起始写操作提高了属性版本号 起始写操作是指系统启用更改时 写入属性的操作 由 复制产生的属性写操作不是起始写操作 因而不会提高属性版本号 例如 当用户更新其密 码时 一个起始写操作就产生了 密码属性版本号也随之提高 而在其他服务器上 针对密 码更改的复制写操作却不会提高属性版本号 复制收到一个更改时 如果其中的属性版本号与本地存储的版本号相同 但接收值却与 存储值不同 就会检测到一个冲突 出现这种情况时 接收系统将应用时间戳较晚的更新 这是时间戳用在复制中的唯一情形 而如果时间戳也相同 则系统将应用GUID较高的更新 如果收到的属性版本号低于本地存储的版本号 则更新被视为陈旧的 并弃之不用 如 果收到的属性版本号高于本地存储的版本号 则会接受此更新 传播衰减 活动目录复制系统允许复制拓扑中出现重复路径 这样 管理员就能够在服务器间配置 有多个路径的复制拓扑 用于提高性能和可用性 活动目录复制系统可执行传播衰减 以防 止更改无穷尽地传播下去 并可以避免向已是最新的副本传送冗余更改 活动目录复制系统使用最新矢量 来衰减传播 最新矢量是每个服务器保存的服务器 USN 对列表 每个服务器的最新矢量表示起始写操作的最高 USN 起始写操作通过服务器 USN 对中的服务器接收 给定站点上服务器的最新矢量列出了该站点上的所有其他服务 器 当复制周期开始时 请求服务器会把最新矢量发送到发送服务器 发送服务器用最新矢 量来筛选发送给请求服务器的更改 如果给定的起始写操作的 USN 大于或等于某个特定更 新起始写操作的 USN 那么发送服务器就无须发送此更改 因为对于起始写入操作来说 请 求服务器已经是最新的了 4 4 5 规划站点 4 4 5 规划站点 建立多个站点时 推荐的做法有 地理 将每个需要快速访问最新目录信息的地域建为一个单独的站点 这样 通过把需 要直接访问最新活动目录信息的区域建成单独的站点 为用户提供了所需的资源 域控制器和全局编录 每个站点要至少有一个域控制器 且每个站点中至少有一个域控 交大南洋远程教育系列教材 50 MCSE2000 系列 Designing a Microsoft Windows 2000 Directory Services Infrastructure 制器是全局编录 站点如果没有自己的域控制器 也没有全局编录 则只能依靠其他站 点获取目录信息 这样效率会很低 检查通用组的成员 尽量避免直接把用户账户放入 通用组 WAN 链路状况 如果两个子网的 WAN 链路带宽低于或等于 T1 1 544M 则应该分别建 立一个新的站点 一般认为 T3 线路为高速连结 安排站点间复制的时间 使用 IP 协议 SMTP 协议比 IP 协议产生更多的复制流量 站点规划 确定组织中需要建立多少个站点 可以为一幢大楼 一个地区建立单独的站点 如果他们之间的物理连接满足站点的要求 大于或等于T1 1 544M T1 1 544M 就可以使用同一个站点 在每一个站点中提供必须的服务 可能包括 启用KCC 域控制器 全局编录服务器 桥头服务器 DNS服务器 DHCP服务器 DFs 其他 建立站点链接 设置链结参数 包括费用 可用性和使用的协议 4 4 设置链结参数 注意 注意 费用越低 表示可用的带宽越多 则该站点链接将被优先使用 实验1 建立站点和站点链接 上海南洋微电子公司版权所有 第四章 实现活动目录的物理结构 51 4 5 组策略 GROUP POLICY 4 5 组策略 GROUP POLICY 4 5 1 组策略的作用 4 5 1 组策略的作用 Windows 2000 中 组策略是本地计算机或者活动目录中的某个对象的配置设置的集合 组策略定义了用户环境中管理员可以管理的各种组件 Windows 2000 中的组策略为集中管 理用户数据 用户使用的应用程序和用户的桌面设置等提供了一种更加简便的方法 能够有 效地提高网络管理的效率 组策略可以实现以下方面的管理 管理模板 administrative templates 基于注册表的策略设置 安全 security settings 本地计算机 域和网络安全设置 软件部署 software settings 定义用户能够访问的应用程序 脚本 scripts 定义计算机脚本和用户脚本 文件夹重定向 folders redirection 把用户数据的存放位置重新定义到网络中的共 享文件夹中 4 5 组策略 规划组策略 规划组策略 建立组策略对象 GPO 在活动目录中 用户通过建立组策略对象 GPO 然后把GPO 和站点 域或组织单元 相连 来构成组策略设置 换句话说 组策略可以在站点 域和组织单元层次上实现 用户使用 活动目录用户和计算机 管理工具建立基于域和组织单元的GPO 使用 活动目 录站点和服务 管理工具建立基于站点的GPO 交大南洋远程教育系列教材 52 MCSE2000 系列 Designing a Microsoft Windows 2000 Directory Services Infrastructure 设置组策略选项 设置组策略影响的用户或组 默认情况下 组策略的设置影响容器及其子容器中的每一个对象 用户可以把多个活动 目录容器与同一个GPO 关联 或者把多个GPO 与同一个活动目录容器相关联 如果有几个组 策略同时影响一个对象 则按以下顺序执行 站点 域 组织单元 用户可以通过设置组策略的安全属性 赋予用户或组READ 和APPLY GROUP POLICY 的权 限来制定受组策略影响的用户或组 4 6 设置组策略影响的用户或组 解决组策略冲突 默认情况下 如果用户受多个组策略的影响 则所有的组策略实现的先后顺序应该是 本地策略 local policy 基于站点的组策略 site 基于域的组策略 domain 基 于组织单元的组策略 ou 默认情况下活动目录中的父容器中所有的组策略设置被其子容器继承 但用户可以通过设 置 BLOCK POLICY INHERITANCE 选项来阻止组策略继承 同时 如果用户需要在子容器的组 策略设置不被父容器的组策略设置所覆盖 可以通过设置 NO OVERRIDE 选项来实现 上海南洋微电子公司版权所有 第四章 实现活动目录的物理结构 53 注意注意 NO OVERRIDE 选项要优先于 BLOCK POLICY INHERITANCE 4 7 解决组策略冲突 本章只简单讲述组策略 详细情况请参阅课程2154的相关信息 实验2 组策略 4 6 管理委派 4 6 管理委派 4 6 1 实现管理委派 4 6 1 实现管理委派 委派管理是把活动目录中的某个部分 站点 域或组织单元 的所有权和管理的责任从 一个中心管理员分散到其他个人或组的过程 在 Windows 2000 操作系统中 委派 允许 更高级别的管理授权机构把对组织单元 域或站点的特定管理权限授予组 或个人 这大 大减少了对大部分用户拥有绝对权限的管理员的需求数量 使用容器的委派控制功能 可以 指定谁有权访问和修改该对象及其子对象 委派是活动目录最重要的安全功能之一 由于委派管理责任 就不再需要具有广泛权限 例如 在整个域中 的多个管理帐户了 通过适当的委派 已被授予相应权限的用户或组可以对它们所拥有的帐户和资源进行管理 虽然可能仍使用预定义的域管理员组 domain amdins 进行整个域的管理 但可将域管理 员组成员的帐户限制为高度信任的管理用户 有三种方法定义委派管理职责 委派权限以改变特定容器的属性 委派权限以创建和删除组织单位中特定类型的对象 例如用户 组或打印机 委派权限以更新组织单位中特定类型的对象的特定属性 例如 对用户对象可以委派设 置密码的权利 WINDOWS 2000 定义了许多特殊的权限和用户权利 可用于委派或限制管理控制权 通 交大南洋远程教育系列教材 54 MCSE2000 系列 Designing a Microsoft Windows 2000 Directory Services Infrastructure 过组织单元 组和权限的组合 可以为特定的人定义最合适的有效管理范围 在活动目录中 可以在域 域中的组织单元和站点三个层次实现管理委派 在 Windows NT 4 0 操作系统中 管理员有时通过创建多个域来委派管理权限 这样就 会有几组不同的域管理员 在 Windows 2000 操作系统中 组织单元比域更容易创建 删除 移动和修改 因而也就更适于委派角色 用户可用 活动目录用户和计算机 在域中委派管理权限 可以修改容器的任意访问控制 列表 DACL 将对域或组织单元的特定权限授予一个组 默认情况下 域管理员 Domain Admin 安全组的成员对整个域拥有权限 但您可以将组成员身份限定在数量有限的极可靠 管理员之内 要创建权限范围更窄的管理员 可以通过在每个域内创建组织单元树 并给组 织单元子树的分支委派权限 把权限委派到单位最低层 域管理员对域中每个对象拥有完 全控制权 但是 他们对其他域中的对象没有管理权限 在实现管理委派时 可以把组织单元 组和权限结合起来 定义特定组的最恰当管理范 围 整个域 组织单元的一个子目录树或一个组织单元 例如 您可能想创建组织单元 使 您能够授予对一个部 如财务组织单元 全部分支的所有用户和计算机帐户的控制权 或者 您可能只想授予组织单元内某些资源 如计算机帐户 的管理控制权 第三个例子是授予对 财务组织单元的管理控制权 但不授予对计帐组织单元内任何组织单元的管理控制权 因为组织单元用于管理委派 但自身并不是安全主管 所以由用户对象的父组织单元说 明该用户对象的管理者 但并未说明这个特定用户可以访问哪些资源 用户可用 活动目录站点和服务 委派对站点 服务器容器 站点间传输 IP 或 SMTP 或子网的控制权 这些实体之一的委派控制使受委派的管理员能够管理这些实体 但并未给 予管理员管理该实体内用户或计算机的能力 4 8 管理委派 例如 当委派对一个站点的控制权时 既可以委派对所有对象的控制权 也可以委派对 该站点上的一个或多个对象的控制权 可以委派控制权的对象包括 用户对象 计算机对象 组对象 打印机对象 组织单元对象 共享文件夹对象 站点对象 站点链接对象 站点链 接桥对象等 然后 就会提示您选择要委派权限的范围 常规 属性特有的或仅仅是特定子 对象的创建 删除 如果指定的是常规范围 就会提示您授予以下一个或多个权限 完全 控制 读取 写入 创建所有子对象 删除所有子对象 读取所有属性或写入所有属性 4 6 2 规划委派管理 4 6 2 规划委派管理 上海南洋微电子公司版权