Windows Server活動目錄
域架構可以透過以下比喻進一步理解
域可以形容為一座大樓;
每個樓層好比組織單元;
每個房間好比域物件,例如使用者、計算機賬戶等;
每個樓層中包含多個房間,可以理解為每個組織單元中包含多個域物件;
每個房間多人一起工作,數人組成一個工作組,可以理解為域中的組。每個組各自為政,完成不同的工作。
因此,組織單位(OU)對於AD DS域服務的管理更有彈性,能發揮“
分層負責、授權自治
”的優點,若能善用組織單元,能儘量避免形成多域架構,節省企業管理成本。
組織單位架構
Organization Unit(組織單位,簡稱OU)是一個容器物件
,可以把域中的物件組織成邏輯組,幫助網路管理員簡化管理工作。組織單位可以包含下列型別的物件:
使用者、計算機、工作組、印表機、應用程式、安全策略、檔案共享、其他組織單位
等。可以在組織單位基礎上部署組策略,統一管理組織單位中的域物件。
預設域架構
域部署完成後,預設建立三層結構的管理體系,分別為:
域(book.com)、組織單位(預設容器,在此稱之為組織單位,例如Users),以及域物件(使用者、計算機、組等)
預設組織單位位置
1.“Users”組不建立組織單位
域架構組織容器中,除了“Domain Controllers”容器外(該容器預設是組織單位),其他任何預設容器中都不能建立組織單位,以“Users”組為例。右擊“Users”預設容器,在彈出的快捷選單中選擇“新建”選項,在彈出的級聯選單中顯示可以建立的域物件,在“Users”組中不能建立組織單位。
2.域級別能夠建立組織單位
右擊“book。com”,在彈出的快捷選單中選擇“新建”選項,在彈出的級聯選單中顯示可以參建立的域物件,域級別可以建立組織單位。
3.新建組織單位內支援組織單位建立功能
新建的組織單位支援組織單位巢狀功能,可根據需要建立多層組織單位。
如何規劃組織單位架構
組織單位規劃沒有統一規劃方式,企業應該根據自身的行政管理架構、地理位置等綜合考慮,符合自身需要的架構模型就是最佳模式。
1.企業角度分析
企業可以按部門把所有的使用者和裝置組成樹形層次架構,也可以按地理位置形成層次架構,還可以按功能和許可權分成多個組織單位層次腳骨。透過組織單位的包容功能,組織單位形成清楚的層次架構,這種包容架構可以使管理者把組織單位切入到域中以反應出企業的行政組織架構並且可以委派任務與授權。建立包容架構的組織模型能夠幫助解決許多問題,大型的域、域樹中每個物件都可以顯示在目錄中,使用者就可以利用一個服務功能輕易地找到某個物件而不管它在域樹架構中的位置。
2.獨立管理
組織單位層次架構侷限於域的內部,所以一個域中的組織單位層次架構域另一個域中的組織單位層次架構沒有任何關係。因此,一個企業有可能只用一個域來構造企業網路,這時就可以使用組織單位對物件進行分組,形成多種管理層次架構,從而極大地簡化網路管理工作。組織中的不同部門可以成為不同的域,或者一個組織單位,從而採用層次化的命名方法來反映組織架構和進行管理授權。根據組織架構進行細化的管理授權可以解決很多管理上的問題,在加強中央管理的同時,又不失機動靈活性。
例如,企業中部署域book。com,總部設定在北京,在上海、廣州等地都有份公司,上海、廣州等有自己獨立的行政管理架構,可以使用架構模式規劃組織單位。
上例中形成的組織單位架構,讓人一目瞭然,透過組織單位就可以清楚地展現企業的管理架構。部署組織單位的目的,就是為了方便管理。例如,為了便於管理使用者,組織單位結合使用者屬性、組策略,為使用者統一分配資源。
使用“
dsquery ou
”命令檢視建立的組織單位。
組織單位和組的區別
1。相同點
組織單位和組都是容器,都是域服務的一種物件。
2。不同點
組織單位就像屋子,當同一個人在屋子裡面時,這個人就不可能在商場,或者公園中。也就是說,一個人在一個組織單位中時,就不可能在另外的一個組織單位中。
組標識使用者具備的權利和許可權,使用者可以在不同組中,將具備不同的許可權,使用者所具備的許可權就是所有不同的組的許可權和交集。
組織單位是體現管理模型,而組是權利和許可權的集合。
組織單位設計原則
1.總體設計目標
設計組織單位架構時,基本原則是“簡單性”+“適應性”=“可持續性”。如果設計過於簡單,則可能並不適用,因此將不得不過於頻繁地進行更改。如果設計適用性強,則所有內容都講被分類,這回適情況變得過於複雜。
2.管理目標
無論任何時候建立組織單位,最重要的是決定誰能瀏覽和控制特定物件,以及每個管理員對該物件擁有哪些層級的管理。除此之外,也必須決定哪個管理員將能全域存取特定組織單位和物件、哪個管理員將受到限制以及受限的程度。
組織單位必須能夠反映企業架構的細節,可以建立組織單位來減少對那些小型的使用者、群組、資源的管理控制。管理控制的許可權可以是完全的(能建立使用者、更改密碼、管理賬戶原則等),也可以是有限的(只能更改密碼)。因為最頂層的組織單位可以包含其他層級的組織單位,因此如果需要的話應儘可能地講細節延伸到各層級,應該講這些物件納入域工作和組織相符的邏輯架構中。
利用組織單位能避免使用者由企業層級的網路管理員進行管理,執行諸如建立計算機賬戶、設定密碼等,有效的方式為提供組織單位層級的管理,將網路管理員從瑣碎的工作中解脫出來。透過限制對釋出資源的授權訪問,使用者將只能看到已被授權存取的物件。除非父域和父組織單位的安全性原則被指定不能使用,否則組織單位將繼承它們。
3.設計原則
為企業建立組織單位時遵循以下原則。
建立組織單位進行授權管理。
建立一個邏輯性、有意義的組織單位架構,該架構可以使組織單位管理員有效率地完成工作。
建立組織單位應用安全性原則。
建立組織單位提供貨限制特定使用者對釋出資源的可見度。
建立穩定的組織單位架構。組織單位也為企業提供名稱空間的彈性以適應企業的變更需求。
避免向任一組織單位分配過多的子物件。
組織單位的層次建議越少也好。
組織單位管理任務
組織單位就像一個倉庫,可以儲存使用者、計算機、組、印表機、應用程式、安全策略、檔案共享、其他組織單位等物件。在新建的組織單位中,預設沒有任何物件。
建立組織單位
1.Active Directory使用者和計算機
提示:如果選擇“防止容器被意外刪除”選項,則新建的組織單位將不能被移動和刪除,即使“Domain Admins”組成員也不能刪除。如果不選擇此功能,可以正常刪除和移動組織單位。
2.DS命令組
使用“dsadd ou”命令建立組織單位。在MSDOS
dsadd ou ou=HR,dc=book,dc=local
命令執行後,建立名稱為“HR”的組織單位。注意,使用“dsadd ou”命令建立的組織單位,“
防止容器被意外刪除
”功能沒有啟用。
3.PowerShell命令組
使用“New-ADOrganizationalUnit”命令建立組織單位。鍵入如下命令。
New-ADOrganizationalUnit -Name:“HR” -Path:“DC=book,DC=local” -ProtectedFromAccidentalDeletion:$true
命令執行後,建立名稱為“HR”的組織單位,並啟用“防止容器被意外刪除”功能。
啟用/禁用“防止容器被意外刪除”功能
建立組織單位時,如果選擇“防止容器被意外刪除”選項,管理員在移動或者刪除組織單位時將出現錯誤,不能刪除選擇的組織單位。要完成移動或者刪除功能,需要取消“防止容器被意外刪除”選項。
1。Active Directory使用者和計算機
2。PowerShell命令
鍵入如下命令:
Set-ADObject-Identity:“OU=HR,DC=book,DC=local” -ProtectedFromAccidentaDeletion:$false
命令執行後,禁用組織單位“HR”中的“防止物件被意外刪除”功能。
Set-ADObject-Identity:“OU=HR,DC=book,DC=local” -ProtectedFromAccidentalDeletion:$true
命令執行後,啟用組織單位“HR”中的“防止物件被意外刪除”功能。
移動組織單位
組織單位之間移動,注意是否啟用“防止物件被意外刪除”功能,如果啟用該功能,不能再組織單位之間移動。
1.Active Directory使用者和計算機
如果組織單位啟用“防止容器被意外刪除”功能,移動使用者時將出現錯誤。確認需要移動啟用該功能的組織單位,首先需要取消“防止容器被意外刪除”選項,然後正常移動即可。
提示
Windows Server 2012 R2操作熊支援“拖拽”功能,選擇需要移動的組織單位,按住左鍵,將組織單位拖動到目標容器上,放開左鍵即可完成組織單位的移動。
2.DS命令組
使用“dsmove”命令移動組織單位。在命令列提示符下,鍵入如下命令
dsmove OU=銷售中心,OU=廣州分公司,DC=book,DC=local -newparent OU=HR,DC=book,DC=local
命令執行後,將組織單位移動到新位置。
3.PowerShell命令組
使用“PowerShell命令”將組織單位提動到其他組織單位中。鍵入以下命令。
Move-ADObject -Identity:“OU=銷售中心,OU=廣州分公司,DC=book,DC=local” -TargetPath:“OU=HR,DC=book,DC=local”
命令執行後,將組織單位“OU=銷售中心,OU=廣州分公司,DC=book,DC=local”移動到“HR組織單位”中。
重新命名組織單位
PowerShell命令組
使用“Rename-ADObject”命令重新命名組織單位。
Rename-ADObject -Identity:“OU=HR,DC=book,DC=local” -NewName:“HRHR”
命令執行後,重新命名組織單位。
刪除組織單位
2.DS命令組
使用“dsrm”名字刪除目標組織單位。在命令列提示符下,鍵入如下命令。
Dsrm OU=HR,DC=book,DC=local
命令執行後,提示是否要刪除組織單位,鍵入“Y”命令後即可刪除目標組織單位。
3.PowerShell命令組
使用“Remove-ADObject”命令刪除目標組織單位。使用以下命令。
Remove-ADObject -Identity:“OU=HR,DC=book,DC=local”
命令執行後,單擊“是”按鈕,刪除目標組織單位。
查詢組織單位
當域內的組織單位達到一定數量後,管理員將忘記組織單位的正確位置,查詢功能可幫助管理快速的定位到指定目標。
2.DS命令組
使用“Dsquery ou”命令查詢域中建立的所有組織單位。在命令列提示符下,鍵入如下命令。
Dsquery ou
命令執行後,顯示當前域中所有組織單位。
查詢域中以“人力”開頭的所有組織單位,在命令列提示符下,鍵入如下命令。
Dsqueryh ou -name 人力*
命令執行後,輸出以“人力”開頭的所有組織單位。
3。PowerShell命令組
使用“Get-ADOrganizationalUnit”命令查詢域中所有組織單位。鍵入如下命令。
Get-ADOrganizationalUnit
命令執行後,顯示當前域中所有組織單位。
查詢域中以“人力”開頭的所有組織單位,鍵入如下命令。
Get-ADOrganizationalUnit-Filter“Name-like”人力*“”“
命令執行後,輸出以“人力”開頭的所有組織單位。
組織單位委派控制
如果域中的使用者數量眾多,域管理員管理所有使用者,工作效率會比較低。如果每個部門賦予一個使用者具備管理使用者的許可權,域管理員可以從人事資訊基本管理工作中脫離出來,同時工作效率會比較高,根據人員變動情況及時修改使用者資訊。因此,需要委託組織單位級別的控制。本例中委派使用者“demo”對組織單位“廣州分公司”具備完全控制的許可權,可以建立使用者、刪除使用者、修改密碼等。
委派許可權
許可權測試
使用者“demo”被委派“廣州分公司”管理許可權後,“demo”使用者使用Windows 7作業系統,使用“Active Directory使用者和計算機”控制檯管理域。
