通过使用 OU 对象委派管理

可以使用组织单位 (OU) 将 OU 内的对象(例如用户或计算机)的管理委托给指定的个人或组。 要使用 OU 委托管理,请将要委托管理权限的个人或组放到组中,将要控制的对象集放到 OU 中,然后将 OU 的管理任务委托给该组。

利用 Active Directory 域服务 (AD DS),可以控制可在非常详细的级别委托的管理任务。 例如,可以分配一个组来完全控制 OU 中的所有对象,为另一个组分配仅在 OU 中创建、删除和管理用户帐户的权限,然后为第三组分配仅重置用户帐户密码的权限。 可以使这些权限可继承,以便它们适用于放置在原始 OU 的子树中的任何 OU。

默认 OU 和容器是在 AD DS 安装期间创建的,并由服务管理员控制。 最好由服务管理员继续控制这些容器。 如果需要委托对目录中对象的控制,请创建其他 OU 并将对象放置在这些 OU 中。 将对这些 OU 的控制委托给适当的数据管理员。 这样,就可以在不更改授予服务管理员的默认控制的情况下委托对目录中对象的控制。

林所有者确定委托给 OU 所有者的权限级别。 范围包括从在 OU 中创建和操作对象的功能到只允许控制 OU 中单一类型对象的单一属性。 如果授予用户在 OU 中创建对象的功能,也将隐式地授予该用户操作其创建的任何对象的任何属性的功能。 此外,如果创建的对象是容器,则用户可以隐式地创建和操作放置在该容器中的任何对象。

在本节中