组织单位OU规划及创建教材(PPT 33页).ppt

1、第03部分,组织单位OU规划及创建,组织单位OU规划及创建,本章重点,何谓组织单位 规划组织单位 管理组织单位 管理组织单位的成员 委派控制,组织单位与委派控制,组织单位（OrganizationalUnit）是从Windows 2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色。 组织单位是什么？它能帮我们做什么？以及如何管理组织单位。,何谓组织单位,在Windows NT的时代,域（Domain）是组织和管理网络的最小单位。 倘若不同的部门有不同的安全需求与管理方式,往往因此得将整个公司划分成多个域。可是这种多域的架构,在管理与成本都会增加负担。 为了解决这类的问题,微软公司在A

2、D域中增加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发挥分层负责、授权管理的优点。,组织单位是一种容器,能包含其它对象的对象便称为容器（Container）,既然组织单位是一种容器,自然也能包含其它对象。 它可以包含以下9种对象： 用户、计算机、组、打印机、共享文件夹 联络人、组织单位、InetOrgPerson、MSMQ路由别名 但是要记得一点组织单位仅能包含同域内的对象,不能包含其它域的对象！,组织单位与组的差异,初次接触组织单位时,许多用户会将它与组（Group）混淆,虽然两者都是应用在AD域的逻辑架构中,但是在使用上有以下的差异： 一个用户可以隶属于多个组,但是只能隶属于一

3、个组织单位。 组织单位可以包含组,但是组不能包含组织单位。 网络资源（例如：文件夹或打印机）的权限可以赋予组,但是不能赋予组织单位。,规划组织单位,如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准则,主要视企业实际需求而定。 以下列举几种常见的规划模式：,基于功能,S 销售 C 咨询 M 市场,基于地理位置,N 挪威 F 法国 I 印尼,委派控制,简单地说,所谓的委派控制（Delegation）便是授权！系统管理员可利用它来将例行的管理工作,委派给特定的对象来执行,以减轻自己的负担。 执行委派控制时应注意以下3个要点： 委派的范围：将多大的范围（站点、域或组织单位）委派出去。

4、委派的对象：委派给谁。 委派的内容：委派多大的权限出去。,修改委派控制的内容,委派控制精灵有一个缺点只能用来执行委派工作,不能删除或更改委派工作。 如果要取消或更换授权的对象或工作内容,则必须直接修改该对象的ACL。 以前例而言,若要修改原先委派给贾聪明的权限,或是将该委派工作改派给其它人,请先开启总管理处的权限项目交谈窗。,第03部分,组策略规划及创建,组策略规划及创建,组策略部署管理,组策略对象的工具 组策略对象链接 组策略的应用用顺序 组策略权限的继承 阻止策略继承 强制组策略 组策略筛选,组策略概述,组策略在运行 Windows Server2008、Windows Vista、Win

5、dows Server2003 和 WindowsXP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。 除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。,组策略组件,组策略对象的工具,默认组策略工具 Active Directory 用户和计算机 域和组织单位组策略对象 Active Directory 站点和服务 站点组策略对象 本地安全策略 本地计算机安全设置 附加工具 组策略管理 域、组织单位和站点组策略对象,组策略对象链接,组策略的应用用顺序,组策略权限的继承,域,OU,

6、OU,OU,OU,OU,用户或计算机账户,阻止策略继承,要阻止策略在域或组织单位中继承 Active Directory 用户和计算机管理工具 要阻止策略在站点上继承 Active Directory 站点和服务管理工具,销售,生产,域,组策略对象,没有组策略对象设置应用,强制组策略,组策略筛选,什么是 WMI 过滤器?,500 MB free disk space?,WMI Filter,Administrator,InstallOffice XP?,10 GB,400 MB,35 GB,750 MB,GPO,WMI过滤,Windows 2000,Windows XP,Windows XP,

7、WMI过滤,域控制器,只套用XP Professional,查询是使用 WMI 查询语言 (WQL) 编写的,仅运行 Windows XP Professional 的目标计算机 RootCimV2; Select * from Win32_OperatingSystem where Caption = Microsoft Windows XP Professional,组策略什么时候应用?,组策略处理过程,同步处理,异步处理,管理组策略,什么是COPY操作，执行COPY操作 ? 什么是备份操作，执行备份操作 ? 什么是恢复操作，执行恢复操作 ? 什么是倒入操作，执行导入操作 ?,什么是 Co

8、py 操作?,A copy of a GPO transfers only the settings within a GPO The new GPO is created unlinked,什么是 Backup 操作?,In a backup operation, Group Policy Management export all data in the GPO to the selected file and saves the GPT files,Backup Operation,Backup of a GPO,GPO1,GPO1,什么是恢复操作?,In a restore opera

9、tion, the contents of the GPO are returned to exactly the same state,Restore Operation,GPO1,Backed-up GPO,GPO1,什么是导入操作?,In an import operation, all GPO settings are copied from the source to the target GPO,GPO1,Import Operation,GPO2,GPO Settings,将组策略应用于新用户和计算机帐户,默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Compu

10、ters 容器中创建的。 Redirusr.exe（用于用户帐户）和 Redircomp.exe（用于计算机帐户）是 Windows Server2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域,组策略和 Sysvol,GPO 中的策略设置信息存储在以下两个位置：Active Directory 和域控制器的 Sysvol 文件夹。Active Directory 容器称为组策略容器；Sysvol 文件夹中包含组策略模板。 组策略容器包含用于将 GPO 部署到域、OU 和站点的属性。组策略容器还包含组策略模板的路径，该模板存储了大多数组策略设置。,管理模板,组策略中提供大量的设定使管理员可以通过一次设定,管理多台计算机或者多个用户 组策略中很大一部分设定实际上是改的注册表 管理模板(.ADM)文件定义了组策略如何修改注册表 所有基于注册表的组策略设定存为registry.pol ,放在sysvol中,组策略首选项,组策略首选项是 Windows Server2008 操作系