Windows_Server_2008_R2_AD_DS架构-第03部分_OU、组策略规划及部署

第03部分 部分

组织单位OU规划及创建

组织单位OU规划及创建

本章重点

何谓组织单位 规划组织单位 管理组织单位 管理组织单位的成员 委派控制

组织单位与委派控制

组织单位（OrganizationalUnit）是从Windows 2000之后才出现的对象,在AD域的逻辑架构中 担任重要的角色。 组织单位是什么？它能帮我们做什么？以及如 何管理组织单位。

何谓组织单位

在Windows NT的时代,域（Domain）是组织和管 理网络的最小单位。 倘若不同的部门有不同的安全需求与管理方式, 往往因此得将整个公司划分成多个域。可是 这种多域的架构,在管理与成本都会增加负担。 为了解决这类的问题,微软公司在AD域中增加了 组织单位这种对象,使得整个域的规划与管理 更有弹性,能发挥『分层负责、授权管理』的 优点。

组织单位是一种容器

能包含其它对象的对象便称为容器（Container） ,既然组织单位是一种容器,自然也能包含其 它对象。 它可以包含以下9种对象：

用户、计算机、组、打印机、共享文件夹 联络人、组织单位、InetOrgPerson、MSMQ路由别 名

但是要记得一点－－组织单位仅能包含同域内 的对象,不能包含其它域的对象！

组织单位与组的差异

初次接触组织单位时,许多用户会将它与『组』 （Group）混淆,虽然两者都是应用在AD域的 逻辑架构中,但是在使用上有以下的差异：

一个用户可以隶属于多个组,但是只能隶属于一个 组织单位。 组织单位可以包含组,但是组不能包含组织单位。 网络资源（例如：文件夹或打印机）的权限可以赋 予组,但是不能赋予组织单位。

规划组织单位

如何规划组织单位的架构,是一个颇有挑战性的 课题。然而并无一定的准则,主要视企业实际 需求而定。 以下列举几种常见的规划模式：

基于地理位置

基于功能

N – 挪威 F – 法国 I – 印尼

基于混合型的示例

S – 销售 C – 咨询 M – 市场

N F I

S C M

组织 位置 功能 组织

基于组织 M E R

M – 制造业 E – 工程师 R – 研究员

位置 功能

委派控制

简单地说,所谓的委派控制（Delegation）便是 『授权』！系统管理员可利用它来将例行的 管理工作,委派给特定的对象来执行,以减轻 自己的负担。 执行委派控制时应注意以下3个要点：

委派的范围：将多大的范围（站点、域或组织单位） 委派出去。 委派的对象：委派给谁。 委派的内容：委派多大的权限出去。

修改委派控制的内容

委派控制精灵有一个缺点－－只能用来执行委 派工作,不能『删除』或『更改』委派工作。 如果要取消或更换授权的对象或工作内容,则必 须直接修改该对象的ACL。 以前例而言,若要修改原先委派给『贾聪明』的 权限,或是

本文来源：https://www.bwwdw.com/article/axb1.html