计算机网络组织单位与委派控制PPT课件下载推荐.ppt
- 文档编号:7164963
- 上传时间:2023-05-08
- 格式:PPT
- 页数:70
- 大小:6.37MB
计算机网络组织单位与委派控制PPT课件下载推荐.ppt
《计算机网络组织单位与委派控制PPT课件下载推荐.ppt》由会员分享,可在线阅读,更多相关《计算机网络组织单位与委派控制PPT课件下载推荐.ppt(70页珍藏版)》请在冰点文库上搜索。
若能善用組織單位,便能儘量避免形成多網域架構,節省企業成本。
所以有人說:
組織單位就是次網域(Subdomain)!
6,組織單位的特性,組織單位是一種容器組織單位可以組成階層化架構,7,組織單位是一種容器,能包含其它物件的物件便稱為容器(Container),既然組織單位是一種容器,自然也能包含其它物件。
它可以包含以下9種物件:
使用者電腦群組印表機共用資料夾,8,組織單位是一種容器,聯絡人組織單位InetOrgPersonMSMQ路由別名但是要記得一點組織單位僅能包含同網域內的物件,不能包含其它網域的物件!
9,組織單位可以組成階層化架構,若組織單位包含的物件數量眾多,卻又全部放在同一個組織單位內,必定顯得雜亂無章。
因此最好再建立下層組織單位,將各種物件分門別類存放,以提高管理效率。
就這一點來看,組織單位的功用和檔案結構裡的資料夾(Folder)很類似,都是為了便於分類管理而建立的。
10,使用組織單位的時機,通常是為了授權管理而建立組織單位。
例如:
業務部門的人事異動較頻繁,因此常常要求系統管理員為他們刪除、變更和建立帳戶。
於是系統管理員便建立業務部這個組織單位,將業務部的全部使用者與電腦都隸屬於該組織單位,並賦予業務部經理新增、刪除與修改使用者帳戶和電腦帳戶的權力。
11,使用組織單位的時機,爾後該部門的帳戶異動工作,就不必麻煩系統管理員了。
因此,建立組織單位和授權可說是焦不離孟、孟不離焦的關係,這種對於組織單位的授權稱為委派控制(Delegation),請參見11-5節。
還有一種情形也有可能建立組織單位套用群組原則(GroupPolicy),我們在第12、13章會仔細說明。
12,組織單位與群組的差異,初次接觸組織單位時,許多使用者會將它與群組(Group)混淆,雖然兩者都是應用在AD網域的邏輯架構中,但是在使用上有以下的差異:
一個使用者可以隸屬於多個群組,但是只能隸屬於一個組織單位。
組織單位可以包含群組,但是群組不能包含組織單位。
網路資源(例如:
資料夾或印表機)的權限可以賦予群組,但是不能賦予組織單位。
13,11-2規劃組織單位,如何規劃組織單位的架構,是一個頗有挑戰性的課題。
然而並無一定的準則,主要視企業實際需求而定。
以下列舉幾種常見的規劃模式:
依地理位置劃分,14,規劃組織單位,依管理權責劃分,15,規劃組織單位,依事業單位劃分,16,規劃組織單位,依專案內容劃分,17,規劃組織單位,依部門組織劃分,18,規劃組織單位,當然,以上只是概略性的原則,未必適用於哪一家企業。
在龐大的跨國企業中,可能有三、四層組織單位,上層採用地理位置劃分;
中層採用事業單位劃分;
下層則採用專案內容劃分。
這種混合式的規劃方式不但具有彈性,也兼顧了行政效率,值得做為借鏡。
19,11-3管理組織單位,本節將介紹新增、移動、刪除組織單位和變更組織單位名稱的方式。
假設要在xdom.biz.tw網域建立總管理處、電腦事業處和業務處等3個組織單位,之後因組織異動,將業務處改為隸屬於總管理處,並更名為業務部,最後又刪除電腦事業處。
這一連串步驟示範如後。
20,新增組織單位,請執行開始/系統管理工具/ActiveDirectory使用者和電腦命令:
21,新增組織單位,22,新增組織單位,在第4步驟看到的保護容器不被意外刪除,是為了保護此組織單位不會被誤刪,而在WindowsServer2008新增的項目,預設為選取,等於將此物件設為唯讀(ReadOnly),不允許刪除或搬移。
由於我們接著會將業務處搬移到總管理處下層,為方便操作故取消選取,平常讀者在管理時毋須如此。
23,新增組織單位,若有需要移動或刪除選取了保護容器不被意外刪除多選鈕的物件,請參考11-10頁的說明取消保護。
接著請依照同樣方式,自行新增電腦事業處和總管理處兩個組織單位。
24,移動組織單位,以下示範將業務處移到總管理處的下層:
25,移動組織單位,26,變更組織單位名稱,以下示範將業務處更名為業務部:
27,刪除組織單位,因為當初建立組織單位的時候,預設會勾選保護容器不被意外刪除,禁止該組織單位被刪除,所以現在要刪除之前必須先解除這一道限制,否則會看到如下的示誤交談窗:
28,刪除組織單位,以下示範如何刪除電腦事業處:
29,刪除組織單位,30,刪除組織單位,31,刪除組織單位,32,刪除組織單位,33,11-4管理組織單位的成員,既然組織單位可以包含9種物件,當然也可以管理這些物件,包括:
新增、刪除和移動物件等等。
以下便以使用者和電腦這2種最常見的物件為例說明。
34,新增組織單位的成員,新增使用者假設要在業務部新增林望這名使用者。
請開啟ActiveDirectory使用者和電腦視窗:
35,新增組織單位的成員,按下一步鈕,36,新增組織單位的成員,按下一步鈕,37,新增組織單位的成員,38,新增組織單位的成員,39,新增組織單位的成員,新增電腦倘若要在業務處新增一部電腦Tony-vista。
若該電腦已經加入網域,預設會存在於Computers容器,因此請參考前一節移動組織單位的內容,將Tony-vista移到業務處即可(雖然一個是組織單位;
一個是電腦,但移動兩者的方式相同)。
40,新增組織單位的成員,若Tony-vista尚未加入網域,我們仍然可以先在業務部建立該電腦帳戶,爾後該電腦加入網域時就會出現在業務部,而不是Computers容器,以下示範其步驟:
41,新增組織單位的成員,42,新增組織單位的成員,不過在實務上,我們建議在前頁的下圖先按變更鈕,然後輸入該電腦的保管人的帳戶名稱。
將來這部電腦要加入網域時,毋須輸入系統管理員的帳戶名稱和密碼,只要輸入保管人的帳戶名稱與密碼即可。
承上例,假設Tony-vista的保管人是Tony,那麼請按前頁下圖中的變更鈕:
43,新增組織單位的成員,44,刪除組織單位的成員,要刪除組織單位的成員,無論該成員是使用者、電腦或其它物件,所用的方式都一樣。
在ActiveDirectory使用者和電腦視窗,選取該物件之後按Del鍵即可;
或者也可以用下列方式:
45,11-5委派控制,簡單地說,所謂的委派控制(Delegation)便是授權!
系統管理員可利用它來將例行的管理工作,委派給特定的對象來執行,以減輕自己的負擔。
執行委派控制時應注意以下3個要點:
委派的範圍:
將多大的範圍(站台、網域或組織單位)委派出去。
委派的對象:
委派給誰。
委派的內容:
委派多大的權限出去。
46,委派的範圍,我們可以委派控制的範圍(Scope)是:
站台、網域和組織單位,合稱為SDOU(Site、Domain、OU)。
從管理層面來看,不同的委派範圍涉及不同性質的工作。
在站台最主要的工作為新增/移除站台、網站連結等等;
在組織單位最常見的工作,則是新增/移除使用者或電腦帳戶、重設密碼與套用群組原則等等。
47,委派的範圍,如果在站台委派新增使用者,或是在組織單位委派新增網站連結,這都是牛頭不對馬嘴了。
所以說,委派的範圍有兩種意義:
一是界定了管轄權的範圍,換句話說,被委派的對象只允許在此一範圍內行使管理權。
二是提示了不同性質的工作內容,我們應當針對不同的範圍委派不同的工作。
48,委派的對象,在眾多AD物件中,只有使用者、電腦及群組可以作為委派的對象。
而且,委派對象不須和授權範圍有任何隸屬關係。
可以將A組織單位委派給B組織單位的成員管理,甚至可以委派給其它網域的使用者管理。
49,委派的對象,在選擇委派的對象時,應該考慮以下兩點:
委派對象的能力和所受的訓練。
授權對象是否具備管理使用者帳戶的能力。
委派對象實際工作的權責範圍。
管理使用者帳戶的人員,最好也是該單位負責人事作業或資訊作業的人員。
50,委派的內容,假設要委派賈聰明在總管理處對印表機有完全控制的權限,請開啟ActiveDirectory使用者和電腦視窗:
51,委派的內容,52,委派的內容,53,委派的內容,按下一步鈕,54,委派的內容,按下一步鈕,55,委派的內容,按下一步鈕,56,委派的內容,按下一步鈕,57,委派的內容,58,委派控制的本質,就本質而言,委派控制其實就是修改AD物件的ACL(AccessControlList),使委派的對象具有相符的權限。
因此上例實際上是修改總管理處的ACL,讓賈聰明具有對於印表機物件的完全控制權限。
我們以下列步驟來驗證這點:
59,委派控制的本質,然後在總管理處按右鈕,執行內容命令:
60,委派控制的本質,61,委派控制的本質,62,修改委派控制的內容,委派控制精靈有一個缺點只能用來執行委派工作,不能刪除或更改委派工作。
如果要取消或更換授權的對象或工作內容,則必須直接修改該物件的ACL。
以前例而言,若要修改原先委派給賈聰明的權限,或是將該委派工作改派給其它人,請先開啟總管理處的權限項目交談窗。
63,修改委派控制的內容,64,在工作站安裝系統管理工具,在我們將部分工作委派出去之後,受委派的對象會遇到一個問題所操作的電腦沒有系統管理工具可用來管理系統!
雖然在安裝完成WindowsServer2008之後,就有開始/系統管理工具命令可用來執行各種管理工作。
65,在工作站安裝系統管理工具,但是工作站不可能使用WindowsServer2000/2003/2008這類伺服器作業系統,因此即使獲得授權,卻會因為沒有ActiveDirectory使用者和電腦這類的命令可執行,而無法執行受委派的工作,此時就應該下載與安裝系統管理工具。
請先連線到http:
/.tw網站,然後如下操作。
66,在工作站安裝系統管理工具,67,在工作站安裝系統管理工具,68,在工作站安裝系統管理工具,69,在工作站安裝系統管理工具,雖然網頁上沒有說明,但是經過實際測試,確定所下載的WindowsServer2003-KB340178-SP2-x86-CHT.msi程式,在32位元的WindowsXP專業版和32位元的WindowsVista企業版都能順利執行。
執行該程式之後,便會發現多了開始/系統管理工具命令(在XP是開始/所有程式/系統管理工具命令),可以用這些工具來管理網域了。
70,在工作站安裝系統管理工具,但是別忘了用來登入網域的帳戶,必須具有足夠的權限,否則執行某些系統管理工具的命令時仍會出現錯誤訊息。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 组织 单位 委派 控制
![提示](https://static.bingdoc.com/images/bang_tan.gif)