「組織單元」以及「組結構」以及「OU委託」以及「組策略」

☆☆☆☆☆☆組織單元的定義

正如LDAP標準的RFC中定義的那樣，組織單元OU是邏輯上存儲目錄信息的容器而且提供了一種經過LDAP尋址ADDS的方法。

在ADDS中，OU是將用戶、計算機和其餘對象信息組織成更易理解的佈局的基本方法。

能夠將OU進一步細分爲資源OU以便於組織和委託管理

☆☆☆☆☆☆組織單元的設計

ADDS中默認的users和computers並非技術上的組織單元，在技術上將其定義爲Container容器對象。

容器對象和組織單元不一樣，因此咱們通常將用戶和計算機對象從他們的默認容器中轉移到OU結構中。

★定義AD組

組成員對於用戶是可見的：儘管OU的可見性被限制在使用特殊管理工具的管理員，可是全部參與域活動的用戶均可以查看組

多個組中的成員資格：組成員資格並非獨佔的，用戶能夠成爲多個組中的任何一個組的成員。

郵件啓用組功能：經過分配組和郵件啓用的安全組，用戶能夠向一個組發送電子郵件，並將郵件分發到改組的全部成員。

☆☆☆☆☆☆ADDS組結構

ADDS組分爲兩類：組類型和組範圍

1、組類型：

一、安全組security，向組成員的對象施加權限。

二、分配組distribution，向組成員發送郵件

2、組範圍

一、機器本地組：包含來自任何可信任位置的成員

二、域本地組：管理僅僅位於本身域中的資源，包含來自其餘任何可信任域中的用戶和組

三、全局組：包含僅僅在域中存在但準訊訪問其餘可信任域中的資源的用戶。

適合類似功能的用戶帳戶提供安全成員資格

四、通用組：包含森林中任何域的用戶和組而且容許訪問森林中任何資源

★安全組：

用於向資源全體應用權限，從而能夠更容易的管理用戶組。安全組有一個與其相關聯的惟一安全標識符SID，這相似於ADDS中每一個用戶擁有的SID。SID惟一性能夠用於向域中的對象和資源應用安全措施。

所以：不能簡單的刪除和重命名組，以便擁有和之前舊的組所維護的相同權限。

★分配組

與成員可以接收發送到該組的採用簡單郵件傳輸協議SMTP的郵件消息。

分配組與郵件啓用組不是同一種。

★郵件啓用組

ADDS包含一個稱爲郵件啓用組的概念，本質上是經過電子郵件地址引用的安全組。能夠用於向組的成員發送SMTP消息。

★機器本地組

機器本地組是操做系統中的組，而且僅僅能夠應用到他們所在機器的本地對象。

他們都是默認的本地組：PowerUsers，Administrators和在獨立的系統上建立的如此之類的用戶。

★域本地組

是老式的WindowsNT本地組的演進

域本地組包含ADDS森林中任何位置成員或者森林外任何可信域中的成員

一個域本地組的成員能夠源自於：全局組、用戶帳戶、通用組、其餘域本地組

域本地組主要用於對資源的訪問，由於不一樣的域本地組是爲了各類資源建立，而後向他們添加其餘帳戶和組。

★全局組

☆☆☆☆☆☆OU的委託管理

在ADDS中建立OU結構最重要的一個緣由就是爲了將管理權限委託給單獨的管理員或者管理組

一、在ActiveDirectoryUsersandComputers對話框中，右擊OU選擇DelegateControl

二、在welcome下點擊next按鈕

三、單擊Add按鈕來選擇受權的管理員或者組

四、點擊ok

五、在Delegationthefollowingcommontasks下，選擇要授予的權限：create，delete。andmanageruseraccounts或者modifythememebershipofagroups

六、點擊finish

七、實際上還能夠更細的委託一個管理員只能修改電話號碼的功能

在如上圖的時候選擇createacustomtasktodelegate，單擊next

八、選中onlythefollowingobjectsinthefolder----選取userobjects

九、在permissions下面選取readandwritephoneandmailoptions，點擊next，finish