通过 AD 域委派控制功能授权域成员管理域

概览

  • Active Directory 域管理员在域控制器中配置【委派控制】
  • 被委派和分配权限的域成员登录已安装域服务的服务器来管理域

管理员域控配置委派控制任务

域管理员通过【Active Directory 用户和计算机】管理器中【委派控制】来配置被委派的域成员和权限;根据实际需求委派授权的位置或对象,如直接全局【hxx.tt】或【集团】OU;

进入欢迎向导,下一步;

点击【添加】按钮选择域成员,在此之前需要在域管理器新建该账户;

输入该账户账号;

确认,下一步;

选择需要委派的任务或创建自定义,下一步;

【完成】向导;

被委派的域成员服务器配置

准备另一台用于域成员登录和管理域的服务器

该服务器安装 Active Directory 域服务,但不要提升为域控制器

当前主域控器的 IP 为 192.168.24.10/24,所以域成员服务器的 DNS 地址设置为 192.168.24.10;

如果有辅域控,备用 DNS 地址即填写辅域控的 IP 地址;

完成 IP 地址的配置,可以与 hxx.tt 正常通信;

如果不能连接域,使用 ipconfig /flushdns 刷新 DNS 缓存

将该服务器命名并加入 hxx.tt 域;

欢迎加入 hxx.tt 域,然后重启服务器继续以下操作;

被委派的域成员登录用于被委派任务的服务器

重启后登录域成员账户

何小希成功登录;

启动【Active Directory 用户和计算机】管理器;

当前已经同步域控的信息;

【目录服务器】联机正常;

【操作主机】(即主域控制器)连接正常;

当前何小希的权限对 hxx.tt 只有全局新建用户的【特殊权限】;

在何小希的控制器中创建一个新账户;

成功创建账户【何小涵】;

在主域控中正常同步;

在管理员域控制器中为【何小希】添加新权限,给其集团组织单位(OU)的完全控制全权配置;

目前可以看到何小希对 hxx.tt 域的权限只能创建用户;

而对 hxx.tt 域下的集团 OU 权限可以创建【用户】和【组】以及【组织单位】,以及对这些对象的属性完全控制权限;

0 条评论

昵称

沙发空缺中,还不快抢~