實作委派的權限
您研究了由一家專業 IT 安全性公司針對 Contoso 產生的報告。 您了解屬於高權限群組 (例如 Enterprise Admins 和 Domain Admins) 成員的使用者帳戶,具有所有系統和資料的完整存取權。 您認同這些帳戶必須受到嚴密的保護。
不過,有些使用者需要有特定的管理員權利才能執行其職責。 例如,技術支援中心人員必須能夠為一般使用者重設密碼和解除鎖定帳戶,而某些 IT 人員會負責在用戶端或伺服器上安裝應用程式,或執行備份。
雖然 Active Directory 和成員伺服器具有已指派既定權限的內建群組 (例如 Backup Operators 和 Account Operators),但可能不符合您的需求。 您現在需判斷如何以最佳方式提供這個有限的系統管理存取。
使用委派控制精靈
委派的權限可用來為指定的使用者或群組授與有限的授權。 您可以使用委派控制精靈,將更精細的權限委派給使用者或群組。 此精靈可讓您在網站、網域或組織單位層級指派權限。 此精靈有下列預先定義的工作可供您指派:
- 建立、刪除及管理使用者帳戶。
- 重設使用者密碼,並且強制使用者下次登入時必須變更密碼。
- 讀取所有使用者資訊。
- 建立、刪除及管理群組。
- 修改群組的成員資格。
- 將電腦加入網域 (僅適用於網域層級)。
- 管理群組原則連結。
- 產生原則結果組 (規劃)。
- 產生原則結果組 (記錄)。
- 建立、刪除及管理 inetOrgPerson 帳戶。
- 重設 inetOrgPerson 密碼,並且強制使用者下次登入時必須變更密碼。
- 讀取所有 inetOrgPerson 資訊。
您也可以結合權限以建立和指派自訂工作。
若要啟動委派控制精靈,請開啟 [Active Directory 使用者和電腦],然後找出您要委派其控制權的組織單位 (OU)。
注意
您也可以委派網域物件的控制權。
提示
若要委派站台的控制權,請使用「Active Directory 站台及服務」工具來委派控制權。
然後使用下列程序:
以滑鼠右鍵按一下或啟動 OU 的操作功能表,選取 [委派控制],然後選取 [下一步]。
在 [委派控制精靈] 中,選取您要將控制權委派給哪個使用者或群組,然後選取 [下一步]。
提示
您應避免將權利指派給特定使用者。 正確方式是使用群組,即便群組僅包含一個使用者亦然。 這樣可以簡化進行中的管理。
在 [要委派的工作] 頁面上,從一般工作清單中選取,或選取自訂工作加以委派。 例如,若要委派管理使用者帳戶的能力,請選取下列各項:
- 建立、刪除及管理使用者帳戶。
- 重設使用者密碼,並且強制使用者下次登入時必須變更密碼。
- 讀取所有使用者資訊。
選取 [完成]。
![「委派控制精靈」中 [要委派的工作] 頁面的螢幕擷取畫面。系統管理員選取了使用者管理的相關工作。](../../wwl-windows-server/perform-windows-server-secure-administration/media/m1-delegate-1.png)
重要
獲派委派的存取權後,您就無法使用委派控制精靈來檢閱您的設定。
若要檢閱先前設定的委派工作:
- 在 [Active Directory 使用者和電腦] 的功能表上選取 [檢視],然後選取 [進階功能]。
- 找出您所委派的 OU。 以滑鼠右鍵按一下或啟動操作功能表,然後選取 [屬性]。
- 在 [OU 名稱 屬性] 對話方塊中選取 [安全性] 索引標籤,然後選取 [進階]。
- 找出您委派控制的目標安全性主體,並檢閱權限。 您也可以在此處變更已委派的權限。
![[IT 的進階安全性設定] 對話方塊的螢幕擷取畫面。系統管理員已選取 [權限] 索引標籤。顯示了 IT OU 的權限,包括 ContosoAdmin 的委派權限。](../../wwl-windows-server/perform-windows-server-secure-administration/media/m1-delegate-2.png)
注意
委派控制精靈提供簡單的精靈驅動介面,用來設定 AD DS 物件的 AD DS 權限。
示範
下列影片示範如何使用委派控制精靈來實作委派的權限。 此程序的主要步驟如下:
- 開啟 [Active Directory 使用者及電腦]。
- 在管理員 OU 中,建立名為銷售經理的新群組。
- 將使用者新增至銷售經理群組。
- 以銷售 OU 為目標,執行委派控制精靈。
- 在銷售 OU 上,為銷售經理群組指派 [重設使用者密碼,並且強制使用者下次登入時必須變更密碼] 權限。
- 以銷售經理群組成員的身分登入,並確認使用者可為銷售 OU 中的使用者重設密碼,而無法在研究 OU 中重設密碼。