“组织单元”以及“组结构”以及“OU委托”以及“组策略”

☆☆☆☆☆☆组织单元的定义

正如LDAP标准的RFC中定义的那样，组织单元OU是逻辑上存储目录信息的容器而且提供了一种经过LDAP寻址ADDS的方法。

在ADDS中，OU是将用户、计算机和其余对象信息组织成更易理解的布局的基本方法。

能够将OU进一步细分为资源OU以便于组织和委托管理

☆☆☆☆☆☆组织单元的设计

ADDS中默认的users和computers并非技术上的组织单元，在技术上将其定义为Container容器对象。

容器对象和组织单元不一样，因此咱们通常将用户和计算机对象从他们的默认容器中转移到OU结构中。

★定义AD组

组成员对于用户是可见的：尽管OU的可见性被限制在使用特殊管理工具的管理员，可是全部参与域活动的用户均可以查看组

多个组中的成员资格：组成员资格并非独占的，用户能够成为多个组中的任何一个组的成员。

邮件启用组功能：经过分配组和邮件启用的安全组，用户能够向一个组发送电子邮件，并将邮件分发到改组的全部成员。

☆☆☆☆☆☆ADDS组结构

ADDS组分为两类：组类型和组范围

1、组类型：

一、安全组security，向组成员的对象施加权限。

二、分配组distribution，向组成员发送邮件

2、组范围

一、机器本地组：包含来自任何可信任位置的成员

二、域本地组：管理仅仅位于本身域中的资源，包含来自其余任何可信任域中的用户和组

三、全局组：包含仅仅在域中存在但准讯访问其余可信任域中的资源的用户。

适合类似功能的用户帐户提供安全成员资格

四、通用组：包含森林中任何域的用户和组而且容许访问森林中任何资源

★安全组：

用于向资源全体应用权限，从而能够更容易的管理用户组。安全组有一个与其相关联的惟一安全标识符SID，这相似于ADDS中每一个用户拥有的SID。SID惟一性能够用于向域中的对象和资源应用安全措施。

所以：不能简单的删除和重命名组，以便拥有和之前旧的组所维护的相同权限。

★分配组

与成员可以接收发送到该组的采用简单邮件传输协议SMTP的邮件消息。

分配组与邮件启用组不是同一种。

★邮件启用组

ADDS包含一个称为邮件启用组的概念，本质上是经过电子邮件地址引用的安全组。能够用于向组的成员发送SMTP消息。

★机器本地组

机器本地组是操做系统中的组，而且仅仅能够应用到他们所在机器的本地对象。

他们都是默认的本地组：PowerUsers，Administrators和在独立的系统上建立的如此之类的用户。

★域本地组

是老式的WindowsNT本地组的演进

域本地组包含ADDS森林中任何位置成员或者森林外任何可信域中的成员

一个域本地组的成员能够源自于：全局组、用户帐户、通用组、其余域本地组

域本地组主要用于对资源的访问，由于不一样的域本地组是为了各类资源建立，而后向他们添加其余帐户和组。

★全局组

☆☆☆☆☆☆OU的委托管理

在ADDS中建立OU结构最重要的一个缘由就是为了将管理权限委托给单独的管理员或者管理组

一、在ActiveDirectoryUsersandComputers对话框中，右击OU选择DelegateControl

二、在welcome下点击next按钮

三、单击Add按钮来选择受权的管理员或者组

四、点击ok

五、在Delegationthefollowingcommontasks下，选择要授予的权限：create，delete。andmanageruseraccounts或者modifythememebershipofagroups

六、点击finish

七、实际上还能够更细的委托一个管理员只能修改电话号码的功能

在如上图的时候选择createacustomtasktodelegate，单击next

八、选中onlythefollowingobjectsinthefolder----选取userobjects

九、在permissions下面选取readandwritephoneandmailoptions，点击next，finish