Windows Server 2022活動(dòng)目錄管理實(shí)踐( 第2版 微課版)-課件項(xiàng)目17 組織單位規(guī)劃與權(quán)限管理

項(xiàng)目17組織單位規(guī)劃與權(quán)限管理組織單位組織單位和組賬戶(hù)之間的區(qū)別組織單位與其他活動(dòng)目錄對(duì)象的區(qū)別組織單位的常規(guī)管理任務(wù)目錄組織單位組織單位組織單位（OrganizationalUnit，簡(jiǎn)稱(chēng)OU）是一種重要的邏輯容器，通過(guò)前序項(xiàng)目的實(shí)踐可以知道：組織單位一般與公司的行政管理部門(mén)相對(duì)應(yīng)，是一個(gè)活動(dòng)目錄對(duì)象的容器。在組織單位中可以有用戶(hù)賬戶(hù)、組賬戶(hù)、計(jì)算機(jī)、打印機(jī)、共享文件夾、子組織單位等對(duì)象，組織單位是活動(dòng)目錄中最小的管理單元。組織單位如果一個(gè)公司擁有上千人，那么該公司的管理通常會(huì)設(shè)立領(lǐng)導(dǎo)層、各管理層，利用分層管理將管理的權(quán)限下放，從而減少每個(gè)管理人員需要管理的事情，提高整個(gè)企業(yè)的管理水平。當(dāng)域中的對(duì)象非常多時(shí)，也需要進(jìn)行管理權(quán)限的下放，如果所有權(quán)限都集中到域管理員，假如每天有20個(gè)用戶(hù)因?yàn)橥浢艽a而無(wú)法登錄域，并且通知管理員需要更改密碼，管理員的管理任務(wù)和日常工作就會(huì)變得十分繁雜。這時(shí)，如果適當(dāng)?shù)貙⒁恍┕芾頇?quán)限進(jìn)行下放，就可以減輕管理員的工作負(fù)擔(dān)，從而提高管理效率。域管理員業(yè)務(wù)部管理員財(cái)務(wù)部管理員組織單位的功能1.邏輯分組與組織分層結(jié)構(gòu)：組織單位可以創(chuàng)建多層的層次結(jié)構(gòu)，形成一個(gè)樹(shù)狀結(jié)構(gòu)。這種結(jié)構(gòu)允許管理員按照部門(mén)、地區(qū)、項(xiàng)目等劃分來(lái)組織對(duì)象，使得網(wǎng)絡(luò)資源的管理更加清晰和有序。容器作用：組織單位不是物理上的劃分，而是通過(guò)域活動(dòng)目錄的架構(gòu)來(lái)組織對(duì)象。它提供了一個(gè)邏輯上的分組方式，使得相關(guān)對(duì)象能夠被集中管理和訪(fǎng)問(wèn)。組織單位的功能2.管理權(quán)限與委派管理權(quán)限：組織單位可以授予不同的管理員或用戶(hù)特定的管理權(quán)限，如創(chuàng)建用戶(hù)、分配權(quán)限、設(shè)置策略等。這種權(quán)限委派機(jī)制使得網(wǎng)絡(luò)管理更加靈活和高效。安全性：通過(guò)精細(xì)的權(quán)限控制，組織單位能夠確保只有經(jīng)過(guò)授權(quán)的用戶(hù)才能訪(fǎng)問(wèn)和管理特定范圍內(nèi)的對(duì)象，從而提高了網(wǎng)絡(luò)的安全性。組織單位的功能3.策略應(yīng)用與繼承組策略應(yīng)用：組織單位是組策略（GroupPolicy）應(yīng)用的一個(gè)重要作用域。管理員可以在組織單位上鏈接組策略對(duì)象（GPO），以便將策略應(yīng)用到該組織單位及其子組織單位中的所有對(duì)象上。策略繼承：默認(rèn)情況下，子組織單位會(huì)繼承其父組織單位的組策略設(shè)置。這種繼承機(jī)制使得策略的配置和管理更加便捷和高效。同時(shí)，管理員也可以根據(jù)需要阻止或覆蓋繼承的策略設(shè)置。組織單位的功能4.靈活性與可擴(kuò)展性靈活性：組織單位提供了一種靈活的組織方式，可以根據(jù)組織的需求進(jìn)行調(diào)整和重新組織。管理員可以創(chuàng)建、刪除或移動(dòng)組織單位，以適應(yīng)組織的結(jié)構(gòu)和變化。可擴(kuò)展性：隨著組織的不斷發(fā)展，網(wǎng)絡(luò)中的對(duì)象數(shù)量可能會(huì)不斷增加。組織單位通過(guò)其層次結(jié)構(gòu)和分組能力，能夠有效地管理這些對(duì)象，確保網(wǎng)絡(luò)的穩(wěn)定性和可擴(kuò)展性。組織單位和組賬戶(hù)之間的區(qū)別組織單位和組賬戶(hù)之間的區(qū)別1.對(duì)象類(lèi)型及容量組賬戶(hù)：組賬戶(hù)中能夠包含的對(duì)象類(lèi)型比較有限，通常只能包含用戶(hù)賬戶(hù)和組賬戶(hù)。這意味著組賬戶(hù)主要用于將多個(gè)用戶(hù)或組集合在一起，以便統(tǒng)一分配權(quán)限或管理。組織單位：組織單位則是一個(gè)更為廣泛的概念，它不僅可以包含用戶(hù)賬戶(hù)、組賬戶(hù)，還可以包含計(jì)算機(jī)賬戶(hù)、打印機(jī)、共享文件夾等其他活動(dòng)目錄對(duì)象。因此，組織單位能夠管理的活動(dòng)目錄資源更多，所起的作用也更大。組織單位和組賬戶(hù)之間的區(qū)別2.管理策略與控制組賬戶(hù)：創(chuàng)建組賬戶(hù)的主要目的是為用戶(hù)賬戶(hù)分配資源訪(fǎng)問(wèn)權(quán)限。然而，管理員不能直接對(duì)組賬戶(hù)指定管理策略，也就是說(shuō)，不能直接控制組賬戶(hù)中各對(duì)象的更復(fù)雜行為。組賬戶(hù)主要用于權(quán)限的分配和繼承，但不涉及具體的管理策略設(shè)置。組織單位：相比之下，管理員可以直接對(duì)組織單位指定各種管理策略（如組策略），從而對(duì)組織單位中各對(duì)象的行為進(jìn)行精確控制。這使得組織單位在網(wǎng)絡(luò)構(gòu)建和管理中發(fā)揮著更為重要的作用。組織單位和組賬戶(hù)之間的區(qū)別3.刪除操作的影響組賬戶(hù)：當(dāng)刪除一個(gè)組賬戶(hù)時(shí)，其所包含的用戶(hù)賬戶(hù)并不會(huì)隨之刪除。用戶(hù)賬戶(hù)仍然存在于活動(dòng)目錄中，只是失去了通過(guò)該組賬戶(hù)統(tǒng)一分配的權(quán)限或管理。組織單位：而當(dāng)刪除一個(gè)組織單位時(shí)，其所包含的所有活動(dòng)目錄對(duì)象都將隨之刪除。這意味著組織單位的刪除操作具有更高的風(fēng)險(xiǎn)性，需要謹(jǐn)慎處理。組織單位和組賬戶(hù)之間的區(qū)別4.應(yīng)用場(chǎng)景組賬戶(hù)：由于其主要用于權(quán)限分配和管理，因此更適合于需要集中管理用戶(hù)權(quán)限的場(chǎng)景。例如，在大型企業(yè)中，可以將不同部門(mén)的用戶(hù)加入到相應(yīng)的組中，并為這些組分配不同的資源訪(fǎng)問(wèn)權(quán)限。組織單位：組織單位則更適合于網(wǎng)絡(luò)構(gòu)建和資源組織。通過(guò)創(chuàng)建不同層級(jí)的組織單位，可以清晰地劃分網(wǎng)絡(luò)中的資源和對(duì)象，便于進(jìn)行統(tǒng)一管理和維護(hù)。組織單位與其他活動(dòng)目錄對(duì)象的

區(qū)別組織單位與其他活動(dòng)目錄對(duì)象的區(qū)別在安裝活動(dòng)目錄后，打開(kāi)“ActiveDirectory用戶(hù)和計(jì)算機(jī)”窗口，可以看到活動(dòng)目錄中有很多容器，如Builtin、Computers和Users等，如圖所示并且每個(gè)容器中都有一些活動(dòng)目錄對(duì)象?！癆ctiveDirectory用戶(hù)和計(jì)算機(jī)”窗口（1）組織單位與其他活動(dòng)目錄對(duì)象的區(qū)別上圖

中只列出了活動(dòng)目錄中的基本容器對(duì)象。在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”窗口的菜單欄中選擇“查看”→“高級(jí)功能”命令，可以查看活動(dòng)目錄中的所有容器對(duì)象，如圖所示?！癆ctiveDirectory用戶(hù)和計(jì)算機(jī)”窗口（2）組織單位與其他活動(dòng)目錄對(duì)象的區(qū)別組織單位和其他的活動(dòng)目錄容器不同，其他容器中只能包含活動(dòng)目錄對(duì)象，不能對(duì)其進(jìn)行組策略配置。此外，除了在創(chuàng)建活動(dòng)目錄時(shí)自動(dòng)創(chuàng)建的普通容器，管理員不能創(chuàng)建普通容器對(duì)象，但可以根據(jù)管理需要?jiǎng)?chuàng)建組織單位對(duì)象。注意：普通容器和組織單位的圖標(biāo)不同，普通容器的圖標(biāo)像一個(gè)文件夾，而組織單位的圖標(biāo)中有一本書(shū)。普通容量組織單位組織單位的常規(guī)管理任務(wù)組織單位的常規(guī)管理任務(wù)組織單位的管理包括設(shè)置組織單位的常規(guī)信息、管理者、對(duì)象、安全性及組策略等。1）設(shè)置組織單位的常規(guī)信息當(dāng)活動(dòng)目錄中的組織單位對(duì)象非常多時(shí)，尤其在組織單位的嵌套層數(shù)比較多時(shí)，設(shè)置組織單位的屬性信息有助于在活動(dòng)目錄中查找對(duì)象。組織單位的常規(guī)管理任務(wù)例如，對(duì)于“生產(chǎn)部”組織單位，可以通過(guò)設(shè)置組織單位的常規(guī)信息，幫助用戶(hù)在活動(dòng)目錄中查找對(duì)象。右擊“生產(chǎn)部”組織單位，在彈出的快捷菜單中選擇“屬性”命令，彈出“生產(chǎn)部屬性”對(duì)話(huà)框，默認(rèn)選擇“常規(guī)”選項(xiàng)卡，在該選項(xiàng)看中設(shè)置“生產(chǎn)部”組織單位的常規(guī)信息，如圖所示?！吧a(chǎn)部屬性”對(duì)話(huà)框中的“常規(guī)”選項(xiàng)卡組織單位的常規(guī)管理任務(wù)2）設(shè)置組織單位的安全性仍然以“生產(chǎn)部”組織單位為例進(jìn)行講解。在“生產(chǎn)部屬性”對(duì)話(huà)框中選擇“安全”選項(xiàng)卡，在“組貨用戶(hù)名”列表框中顯示組和用戶(hù)名稱(chēng)，在“Everyone的權(quán)限”列表框中顯示相應(yīng)的權(quán)限，如圖所示。就像給NTFS分區(qū)上的文件或文件夾設(shè)置NTFS權(quán)限一樣，在此可以設(shè)置哪些用戶(hù)賬戶(hù)或組賬戶(hù)對(duì)該組織單位有什么權(quán)限。“生產(chǎn)部屬性”對(duì)話(huà)框中的安全選項(xiàng)卡組織單位的常規(guī)管理任務(wù)在組織單位的屬性對(duì)話(huà)框的“安全”選項(xiàng)卡中，可以添加、刪除組或用戶(hù)名，也可以設(shè)置當(dāng)前組織單位的權(quán)限?！吧a(chǎn)部屬性”對(duì)話(huà)框中的安全選項(xiàng)卡組織單位的常規(guī)管理任務(wù)組織單位的權(quán)限分為標(biāo)準(zhǔn)權(quán)限和特殊權(quán)限，其中標(biāo)準(zhǔn)權(quán)限有以下7種。（1）安全控制：可以對(duì)組織單位進(jìn)行任何操作。（2）讀?。嚎梢宰x取組織單位的相關(guān)信息。（3）寫(xiě)入：可以對(duì)組織單位的相關(guān)信息進(jìn)行修改。（4）創(chuàng)建所有子對(duì)象：可以在組織單位中創(chuàng)建所有子對(duì)象?！吧a(chǎn)部屬性”對(duì)話(huà)框中的安全選項(xiàng)卡組織單位的常規(guī)管理任務(wù)組織單位的權(quán)限分為標(biāo)準(zhǔn)權(quán)限和特殊權(quán)限，其中標(biāo)準(zhǔn)權(quán)限有以下7種。（5）刪除所有子對(duì)象：可以在組織單位中刪除所有子對(duì)象。（6）生成策略的結(jié)果集（計(jì)劃）：對(duì)組織單位進(jìn)行生成組策略結(jié)果集操作（正在計(jì)劃）。（7）生成策略的結(jié)果集（記錄）：對(duì)組織單