實作委派的權限

已完成

您研究了由一家專業 IT 安全性公司針對 Contoso 產生的報告。 您了解屬於高權限群組 (例如 Enterprise Admins 和 Domain Admins) 成員的使用者帳戶,具有所有系統和資料的完整存取權。 您認同這些帳戶必須受到嚴密的保護。

不過,有些使用者需要有特定的管理員權利才能執行其職責。 例如,技術支援中心人員必須能夠為一般使用者重設密碼和解除鎖定帳戶,而某些 IT 人員會負責在用戶端或伺服器上安裝應用程式,或執行備份。

雖然 Active Directory 和成員伺服器具有已指派既定權限的內建群組 (例如 Backup Operators 和 Account Operators),但可能不符合您的需求。 您現在需判斷如何以最佳方式提供這個有限的系統管理存取。

使用委派控制精靈

委派的權限可用來為指定的使用者或群組授與有限的授權。 您可以使用委派控制精靈,將更精細的權限委派給使用者或群組。 此精靈可讓您在網站、網域或組織單位層級指派權限。 此精靈有下列預先定義的工作可供您指派:

  • 建立、刪除及管理使用者帳戶。
  • 重設使用者密碼,並且強制使用者下次登入時必須變更密碼。
  • 讀取所有使用者資訊。
  • 建立、刪除及管理群組。
  • 修改群組的成員資格。
  • 將電腦加入網域 (僅適用於網域層級)。
  • 管理群組原則連結。
  • 產生原則結果組 (規劃)。
  • 產生原則結果組 (記錄)。
  • 建立、刪除及管理 inetOrgPerson 帳戶。
  • 重設 inetOrgPerson 密碼,並且強制使用者下次登入時必須變更密碼。
  • 讀取所有 inetOrgPerson 資訊。

您也可以結合權限以建立和指派自訂工作。

若要啟動委派控制精靈,請開啟 [Active Directory 使用者和電腦],然後找出您要委派其控制權的組織單位 (OU)。

注意

您也可以委派網域物件的控制權。

提示

若要委派站台的控制權,請使用「Active Directory 站台及服務」工具來委派控制權。

然後使用下列程序:

  1. 以滑鼠右鍵按一下或啟動 OU 的操作功能表,選取 [委派控制],然後選取 [下一步]

  2. 在 [委派控制精靈] 中,選取您要將控制權委派給哪個使用者或群組,然後選取 [下一步]

    提示

    您應避免將權利指派給特定使用者。 正確方式是使用群組,即便群組僅包含一個使用者亦然。 這樣可以簡化進行中的管理。

  3. 在 [要委派的工作] 頁面上,從一般工作清單中選取,或選取自訂工作加以委派。 例如,若要委派管理使用者帳戶的能力,請選取下列各項:

    • 建立、刪除及管理使用者帳戶。
    • 重設使用者密碼,並且強制使用者下次登入時必須變更密碼。
    • 讀取所有使用者資訊。
  4. 選取 [完成]。

「委派控制精靈」中 [要委派的工作] 頁面的螢幕擷取畫面。系統管理員選取了使用者管理的相關工作。

重要

獲派委派的存取權後,您就無法使用委派控制精靈來檢閱您的設定。

若要檢閱先前設定的委派工作:

  1. 在 [Active Directory 使用者和電腦] 的功能表上選取 [檢視],然後選取 [進階功能]
  2. 找出您所委派的 OU。 以滑鼠右鍵按一下或啟動操作功能表,然後選取 [屬性]
  3. 在 [OU 名稱 屬性] 對話方塊中選取 [安全性] 索引標籤,然後選取 [進階]
  4. 找出您委派控制的目標安全性主體,並檢閱權限。 您也可以在此處變更已委派的權限。

[IT 的進階安全性設定] 對話方塊的螢幕擷取畫面。系統管理員已選取 [權限] 索引標籤。顯示了 IT OU 的權限,包括 ContosoAdmin 的委派權限。

注意

委派控制精靈提供簡單的精靈驅動介面,用來設定 AD DS 物件的 AD DS 權限。

示範

下列影片示範如何使用委派控制精靈來實作委派的權限。 此程序的主要步驟如下:

  1. 開啟 [Active Directory 使用者及電腦]。
  2. 管理員 OU 中,建立名為銷售經理的新群組。
  3. 將使用者新增至銷售經理群組。
  4. 銷售 OU 為目標,執行委派控制精靈
  5. 銷售 OU 上,為銷售經理群組指派 [重設使用者密碼,並且強制使用者下次登入時必須變更密碼] 權限。
  6. 銷售經理群組成員的身分登入,並確認使用者可為銷售 OU 中的使用者重設密碼,而無法在研究 OU 中重設密碼。