1、第 11 章 組織單位與委派控制,2,11-1 何謂組織單位11-2 規劃組織單位11-3 管理組織單位11-4 管理組織單位的成員11-5 委派控制,本章重點,3,組織單位與委派控制,組織單位(Organizational Unit)是從 Windows 2000 之後才出現的物件,在 AD 網域的邏輯架構中擔任重要的角色。本章將告訴讀者:組織單位是什麼?它能幫我們做什麼?以及如何管理組織單位。,4,11-1 何謂組織單位,在 Windows NT 的時代,網域(Domain)是組織和管理網路的最小單位。倘若不同的部門有不同的安全需求與管理方式,往往因此得將整個公司劃分成多個網域。可是這種多
2、網域的架構,在管理與成本都會增加負擔。為了解決這類的問題,微軟公司在 AD 網域中增加了組織單位這種物件,使得整個網域的規劃與管理更有彈性,能發揮分層負責、授權自治的優點。,5,何謂組織單位,簡言之,組織單位就是一個比網域還小的管理單位。若能善用組織單位,便能儘量避免形成多網域架構,節省企業成本。所以有人說:組織單位就是次網域(Subdomain)!,6,組織單位的特性,組織單位是一種容器組織單位可以組成階層化架構,7,組織單位是一種容器,能包含其它物件的物件便稱為容器(Container),既然組織單位是一種容器,自然也能包含其它物件。它可以包含以下 9 種物件:使用者電腦群組印表機共用資料
3、夾,8,組織單位是一種容器,聯絡人組織單位InetOrgPersonMSMQ 路由別名但是要記得一點組織單位僅能包含同網域內的物件,不能包含其它網域的物件!,9,組織單位可以組成階層化架構,若組織單位包含的物件數量眾多,卻又全部放在同一個組織單位內,必定顯得雜亂無章。因此最好再建立下層組織單位,將各種物件分門別類存放,以提高管理效率。就這一點來看,組織單位的功用和檔案結構裡的資料夾(Folder)很類似,都是為了便於分類管理而建立的。,10,使用組織單位的時機,通常是為了授權管理而建立組織單位。例如:業務部門的人事異動較頻繁,因此常常要求系統管理員為他們刪除、變更和建立帳戶。於是系統管理員便建
4、立業務部這個組織單位,將業務部的全部使用者與電腦都隸屬於該組織單位,並賦予業務部經理新增、刪除與修改使用者帳戶和電腦帳戶的權力。,11,使用組織單位的時機,爾後該部門的帳戶異動工作,就不必麻煩系統管理員了。因此,建立組織單位和授權可說是焦不離孟、孟不離焦的關係,這種對於組織單位的授權稱為委派控制(Delegation),請參見 11-5 節。還有一種情形也有可能建立組織單位套用群組原則(Group Policy),我們在第 12、13 章會仔細說明。,12,組織單位與群組的差異,初次接觸組織單位時,許多使用者會將它與群組(Group)混淆,雖然兩者都是應用在 AD 網域的邏輯架構中,但是在使用
5、上有以下的差異:一個使用者可以隸屬於多個群組,但是只能隸屬於一個組織單位。組織單位可以包含群組,但是群組不能包含組織單位。網路資源(例如:資料夾或印表機)的權限可以賦予群組,但是不能賦予組織單位。,13,11-2 規劃組織單位,如何規劃組織單位的架構,是一個頗有挑戰性的課題。然而並無一定的準則,主要視企業實際需求而定。以下列舉幾種常見的規劃模式:依地理位置劃分,14,規劃組織單位,依管理權責劃分,15,規劃組織單位,依事業單位劃分,16,規劃組織單位,依專案內容劃分,17,規劃組織單位,依部門組織劃分,18,規劃組織單位,當然,以上只是概略性的原則,未必適用於哪一家企業。在龐大的跨國企業中,可
6、能有三、四層組織單位,上層採用地理位置劃分;中層採用事業單位劃分;下層則採用專案內容劃分。這種混合式的規劃方式不但具有彈性,也兼顧了行政效率,值得做為借鏡。,19,11-3 管理組織單位,本節將介紹新增、移動、刪除組織單位和變更組織單位名稱的方式。假設要在 xdom.biz.tw 網域建立總管理處、電腦事業處和業務處等 3 個組織單位,之後因組織異動,將業務處改為隸屬於總管理處,並更名為業務部,最後又刪除電腦事業處。這一連串步驟示範如後。,20,新增組織單位,請執行開始/系統管理工具/Active Directory 使用者和電腦命令:,21,新增組織單位,22,新增組織單位,在第 4 步驟看
7、到的保護容器不被意外刪除,是為了保護此組織單位不會被誤刪,而在 Windows Server 2008 新增的項目,預設為選取,等於將此物件設為唯讀(Read Only),不允許刪除或搬移。由於我們接著會將業務處搬移到總管理處下層,為方便操作故取消選取,平常讀者在管理時毋須如此。,23,新增組織單位,若有需要移動或刪除選取了保護容器不被意外刪除多選鈕的物件,請參考 11-10 頁的說明取消保護。接著請依照同樣方式,自行新增電腦事業處和總管理處兩個組織單位。,24,移動組織單位,以下示範將業務處移到總管理處的下層:,25,移動組織單位,26,變更組織單位名稱,以下示範將業務處更名為業務部:,27
8、,刪除組織單位,因為當初建立組織單位的時候,預設會勾選保護容器不被意外刪除,禁止該組織單位被刪除,所以現在要刪除之前必須先解除這一道限制,否則會看到如下的示誤交談窗:,28,刪除組織單位,以下示範如何刪除電腦事業處:,29,刪除組織單位,30,刪除組織單位,31,刪除組織單位,32,刪除組織單位,33,11-4 管理組織單位的成員,既然組織單位可以包含 9 種物件,當然也可以管理這些物件,包括:新增、刪除和移動物件等等。以下便以使用者和電腦這 2 種最常見的物件為例說明。,34,新增組織單位的成員,新增使用者假設要在業務部新增林望這名使用者。請開啟 Active Directory 使用者和電
9、腦視窗:,35,新增組織單位的成員,按下一步鈕,36,新增組織單位的成員,按下一步鈕,37,新增組織單位的成員,38,新增組織單位的成員,39,新增組織單位的成員,新增電腦倘若要在業務處新增一部電腦Tony-vista。若該電腦已經加入網域,預設會存在於 Computers 容器,因此請參考前一節移動組織單位的內容,將 Tony-vista 移到業務處即可(雖然一個是組織單位;一個是電腦,但移動兩者的方式相同)。,40,新增組織單位的成員,若 Tony-vista 尚未加入網域,我們仍然可以先在業務部建立該電腦帳戶,爾後該電腦加入網域時就會出現在業務部,而不是 Computers 容器,以下示
10、範其步驟:,41,新增組織單位的成員,42,新增組織單位的成員,不過在實務上,我們建議在前頁的下圖先按變更鈕,然後輸入該電腦的保管人的帳戶名稱。將來這部電腦要加入網域時,毋須輸入系統管理員的帳戶名稱和密碼,只要輸入保管人的帳戶名稱與密碼即可。承上例,假設 Tony-vista 的保管人是 Tony,那麼請按前頁下圖中的變更鈕:,43,新增組織單位的成員,44,刪除組織單位的成員,要刪除組織單位的成員,無論該成員是使用者、電腦或其它物件,所用的方式都一樣。在 Active Directory 使用者和電腦視窗,選取該物件之後按 Del 鍵即可;或者也可以用下列方式:,45,11-5 委派控制,簡
11、單地說,所謂的委派控制(Delegation)便是授權!系統管理員可利用它來將例行的管理工作,委派給特定的對象來執行,以減輕自己的負擔。執行委派控制時應注意以下 3 個要點:委派的範圍:將多大的範圍(站台、網域或組織單位)委派出去。委派的對象:委派給誰。委派的內容:委派多大的權限出去。,46,委派的範圍,我們可以委派控制的範圍(Scope)是:站台、網域和組織單位,合稱為 SDOU(Site、Domain、OU)。從管理層面來看,不同的委派範圍涉及不同性質的工作。例如:在站台最主要的工作為新增/移除站台、網站連結等等;在組織單位最常見的工作,則是新增/移除使用者或電腦帳戶、重設密碼與套用群組原
12、則等等。,47,委派的範圍,如果在站台委派新增使用者,或是在組織單位委派新增網站連結,這都是牛頭不對馬嘴了。所以說,委派的範圍有兩種意義:一是界定了管轄權的範圍,換句話說,被委派的對象只允許在此一範圍內行使管理權。二是提示了不同性質的工作內容,我們應當針對不同的範圍委派不同的工作。,48,委派的對象,在眾多 AD 物件中,只有使用者、電腦及群組可以作為委派的對象。而且,委派對象不須和授權範圍有任何隸屬關係。例如:可以將 A 組織單位委派給 B 組織單位的成員管理,甚至可以委派給其它網域的使用者管理。,49,委派的對象,在選擇委派的對象時,應該考慮以下兩點:委派對象的能力和所受的訓練。例如:授權
13、對象是否具備管理使用者帳戶的能力。委派對象實際工作的權責範圍。例如:管理使用者帳戶的人員,最好也是該單位負責人事作業或資訊作業的人員。,50,委派的內容,假設要委派賈聰明在總管理處對印表機有完全控制的權限,請開啟Active Directory 使用者和電腦視窗:,51,委派的內容,52,委派的內容,53,委派的內容,按下一步鈕,54,委派的內容,按下一步鈕,55,委派的內容,按下一步鈕,56,委派的內容,按下一步鈕,57,委派的內容,58,委派控制的本質,就本質而言,委派控制其實就是修改 AD 物件的 ACL(Access Control List),使委派的對象具有相符的權限。因此上例實際
14、上是修改總管理處的 ACL,讓賈聰明具有對於印表機物件的完全控制權限。我們以下列步驟來驗證這點:,59,委派控制的本質,然後在總管理處按右鈕,執行內容命令:,60,委派控制的本質,61,委派控制的本質,62,修改委派控制的內容,委派控制精靈有一個缺點只能用來執行委派工作,不能刪除或更改委派工作。如果要取消或更換授權的對象或工作內容,則必須直接修改該物件的 ACL。以前例而言,若要修改原先委派給賈聰明的權限,或是將該委派工作改派給其它人,請先開啟總管理處的權限項目交談窗。,63,修改委派控制的內容,64,在工作站安裝系統管理工具,在我們將部分工作委派出去之後,受委派的對象會遇到一個問題所操作的電
15、腦沒有系統管理工具可用來管理系統!雖然在安裝完成 Windows Server 2008 之後,就有開始/系統管理工具命令可用來執行各種管理工作。,65,在工作站安裝系統管理工具,但是工作站不可能使用 Windows Server 2000/2003/2008 這類伺服器作業系統,因此即使獲得授權,卻會因為沒有Active Directory 使用者和電腦這類的命令可執行,而無法執行受委派的工作,此時就應該下載與安裝系統管理工具。請先連線到 http:/.tw 網站,然後如下操作。,66,在工作站安裝系統管理工具,67,在工作站安裝系統管理工具,68,在工作站安裝系統管理工具,69,在工作站安裝系統管理工具,雖然網頁上沒有說明,但是經過實際測試,確定所下載的WindowsServer2003-KB340178-SP2-x86-CHT.msi程式,在 32 位元的 Windows XP 專業版和 32 位元的 Windows Vista 企業版都能順利執行。執行該程式之後,便會發現多了開始/系統管理工具命令(在 XP 是開始/所有程式/系統管理工具命令),可以用這些工具來管理網域了。,70,在工作站安裝系統管理工具,但是別忘了用來登入網域的帳戶,必須具有足夠的權限,否則執行某些系統管理工具的命令時仍會出現錯誤訊息。,
