ad域中用ou实现子域控制

实现域网络管理模式之 在AD域中用OU实现子域控制 在上一次的学习中，阿昊为晨晨讲解了借助“组策略”在AD域中部署软件的方法。经过反复实验，晨晨已经 完全掌握了这部分技术。为了进一步体现AD域的强大管理功能，这一次阿昊又安排了有关AD域的另一个应用实例 用OU实现子域控制。阿昊有着丰富的网络管理实战经验，他经常遇到这样的情况在基于域网络管理模式的网络中，由于员工忘记 了自己的账户密码而请求系统管理员重设密码。为了保证员工能在最短的时间内重新获得密码，很多网络管理员都 希望把重设用户密码的权限赋予某一个用户（组），使其在一定的范围内（如一个组中）拥有修改密码的权限。遇 到这种情况，可以考虑通过建立OU（组织单位）实现子域控制，从而解决遇到的问题。晨晨笔记什么是OUOU（Organizational Unit，组织单位）是可以将用户、组、计算机和其它组织单位放 入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说，如果把AD比作一个 公司的话，那么每个OU就是一个相对独立的部门。创建OUOU的创建需要在DC（域控制器）中进行，创建步骤如下第1步 以Administrator（系统管理员）身份登录域控制器。然后依次单击“开始/管理工具/Active Directory用户和计算机”菜单，打开“Active Directory用户和计算机”控制台窗口。第2步 在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/Organizational Unit”命令。第3步 打开“新建对象-Organizational Unit”对话框，在“名称”编辑框中键入新的OU的名称（如“广 告信息部”），并单击“确定”按钮，如图1。在OU中添加用户完成OU的创建以后，现在需要把公司广告信息部的所有员工账户都放入该OU中。具体实现步骤如下第1步 在“Active Directory用户和计算机”控制台窗口中展开“Users”容器，同时选中所有合适的用户 账户。然后在选中状态下右击这些用户账户，在弹出的快捷菜单中执行“移动”命令。第2步 在打开的“移动”对话框中展开域名目录树，并单击选中刚才创建的“广告信息部”OU。然后单击 “确定”按钮即可将这些用户账户添加到该OU中，如图2。权限委派所谓“权限委派”就是将控制一组用户或计算机的能力赋予另一个用户（组）的过程。在本例中，阿昊将具有 修改“广告信息部”OU中用户密码的权限委派给用户“chenchen”。具体实现步骤如下 第1步 在“Active Directory用户和计算机”窗口中找到并右击“广告信息部”OU，在弹出的快捷菜单中 执行“委派控制”命令，打开“控制委派向导”，单击“下一步”按钮。第2步 打开“用户和组”向导页，在这里可以将对该OU拥有修改密码权限的用户账户添加进来。单击“添 加”按钮，通过高级查找功能将用户“chenchen”添加进来，单击“下一步”按钮。第3步 在打开的“要委派的任务”向导页中列出了可以委派的任务列表。在“委派下列常见任务”列表框中 勾选“重设用户密码并强制在下次登录时更改密码”复选框，单击“下一步”按钮，如图3。第4步 最后单击完成按钮结束权限委派。现在用户“chenchen”已经拥有了重设“广告信息部”OU中用户账户密码的权限了。高级权限委派其实关于权限委派还有一些更加高级的功能，可以通过高级安全设置来实现较为复杂的设置。例如阿昊准备为 用户“chenchen”在“广告信息部”OU中增加创建和删除用户的权限，这时可以通过高级权限委派来实现。具体 操作步骤如下第1步 在“Active Directory用户和计算机”窗口中依次单击“查看/高级功能”菜单，切换至高级功能窗 口。第2步 在左窗格中右击“广告信息部”OU，在弹出的快捷菜单中执行“属性”命令，打开“广告信息部 属 性”对话框。单击“安全”标签，切换至“安全”选项卡。第3步 接着单击“高级”按钮，打开“广告信息部 的高级安全设置”对话框。在该对话框中的“权限”选 项卡中，“权限项目”列表中列出了对该OU拥有相应权限的用户（组）。单击“添加”按钮找到用户 “chenchen”，在打开的“广告信息部 的权相项目”对话框中，勾选“权限”列表中的“创建 account 对象”和 “删除 account 对象”复选框。依次单击“确定”按钮，如图4。经过这样的设置，用户“chenchen”已经拥有了在“广告信息部”OU中创建和删除用户账户的权限了。由此 不难看出，通过高级权限委派可以实现非常灵活的权限委派操作。这一次，晨晨再次领略了AD域的魅力。于是阿昊一讲完，晨晨马上进入了实验当中（寒江钓叟）图1创建OU 图2 移动用户至OU中图3 选择任务图4 委派权限