文档介绍:第03部分
组织单位OU规划及创建
组织单位OU规划及创建
本章重点
何谓组织单位
规划组织单位
管理组织单位
管理组织单位的成员
委派控制
组织单位与委派控制
anizationalUnit)是从Windows 2000之后才出现的对象,在AD域的逻辑架构中担任重要的角色。
组织单位是什么?它能帮我们做什么?以及如何管理组织单位。
何谓组织单位
在Windows NT的时代,域(Domain)是组织和管理网络的最小单位。
倘若不同的部门有不同的安全需求与管理方式,往往因此得将整个公司划分成多个域。可是这种多域的架构,在管理与成本都会增加负担。
为了解决这类的问题,微软公司在AD域中增加了组织单位这种对象,使得整个域的规划与管理更有弹性,能发挥『分层负责、授权管理』的优点。
组织单位是一种容器
能包含其它对象的对象便称为容器(Container),既然组织单位是一种容器,自然也能包含其它对象。
它可以包含以下9种对象:
用户、计算机、组、打印机、共享文件夹
联络人、组织单位、Person、MSMQ路由别名
但是要记得一点--组织单位仅能包含同域内的对象,不能包含其它域的对象!
组织单位与组的差异
初次接触组织单位时,许多用户会将它与『组』(Group)混淆,虽然两者都是应用在AD域的逻辑架构中,但是在使用上有以下的差异:
一个用户可以隶属于多个组,但是只能隶属于一个组织单位。
组织单位可以包含组,但是组不能包含组织单位。
网络资源(例如:文件夹或打印机)的权限可以赋予组,但是不能赋予组织单位。
规划组织单位
如何规划组织单位的架构,是一个颇有挑战性的课题。然而并无一定的准则,主要视企业实际需求而定。
以下列举几种常见的规划模式:
基于功能
S
C
M
S –销售
C –咨询
M –市场
基于混合型的示例
功能
组织
位置
功能
组织
位置
基于组织
M
E
R
M –制造业
E –工程师
R –研究员
基于地理位置
N
F
I
N –挪威
F –法国
I –印尼
委派控制
简单地说,所谓的委派控制(Delegation)便是『授权』!系统管理员可利用它来将例行的管理工作,委派给特定的对象来执行,以减轻自己的负担。
执行委派控制时应注意以下3个要点:
委派的范围:将多大的范围(站点、域或组织单位)委派出去。
委派的对象:委派给谁。
委派的内容:委派多大的权限出去。
修改委派控制的内容
委派控制精灵有一个缺点--只能用来执行委派工作,不能『删除』或『更改』委派工作。
如果要取消或更换授权的对象或工作内容,则必须直接修改该对象的ACL。
以前例而言,若要修改原先委派给『贾聪明』的权限,或是将该委派工作改派给其它人,请先开启『总管理处的权限项目』交谈窗。
第03部分
组策略规划及创建
组策略规划及创建