locked
关于在域内限制一个域用户只能查询特定OU信息的问题 RRS feed

  • 問題

  • 目前公司内有一个域,里面有几十个OU,每一个OU是一个机构,例如机构A、B、C等,还有另外一个OU里面的用户是这些机构的管理员,里面有管理员A、B、C等,现在怎样做才能让每一个机构管理员管理自己的OU,就是说A管理员登录域之后,打开“Active Directory 用户和计算机”,只能查询到机构A的OU信息,看不到机构B的OU信息,要怎样做?


    2011年7月4日 下午 06:13

解答

所有回覆

  • 各位大侠,谁能回答我一下呀,现在挺急的
    2011年7月5日 上午 02:20
  • 您好!

     

    通过委派管理,可以为适当的用户和组指派一定范围的管理任务。可以为普通用户和组指派基本管理任务,而让 Domain Admins Enterprise Admins 组的成员执行域范围和林范围的管理。通过委派管理,可以使组织内的组更多地控制他们的本地网络资源。还可以通过限制管理员组的成员,保护网络不受意外或恶意的损伤。

     

    通过在域中创建组织单位并将特定组织单位的管理控制权委派给特定用户或组,可将管理控制权委派给域树的任何级别。

     

    如果想确定要创建的组织单位,以及哪个组织单位应包含帐户或共享资源,请考虑您单位的结构。

     

    具体的配置信息,您可以参考以下文章:

    委派 Active Directory 管理的最佳做法

    http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid1.mspx

     

    管理委派最佳实践

    https://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid4.mspx Active Directory

     

    委派管理

    http://technet2.microsoft.com/windowsserver/zh-chs/library/60096a04-8494-4551-bfd6-3aebadddc3fe2052.mspx?mfr=true

     

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您告诉我。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    Tom Zhang – MSFT
    2011年7月8日 上午 09:10
    版主
  • 你好!按照你的方法,我新建了一个MMC控制台,添加"Active Directory 用户和计算机"管理单元,然后在管理员A所管理的OU上面点右键”从此处新建窗口“,然后保存为用户模式,再把这个OU的管理权限委派给管理员A,再样让管理员A登录域之后只能打开这个MMC控制台,然后就只能看到这个OU的界面。

    但是现在有一个问题,就是管理员A在这个OU上面点击右键--查看--高级控制,这样整个AD目录就又全都显示出来了,现在就是不想让他看到其他OU,和另外的用户,具体要怎么办呢?

    2011年7月10日 上午 10:16
  • 奇實是不建議這樣做的...

    太複雜了..以彼你的管理會很囉.

    如果像你的情況..是真實的有幾個機構

    就應該用幾個DOMAIN 互相TRUST 就可以了.

    如果在同一個DOMAIN內SET OU 分得太多..你以後管理會很麻煩


    Tony Li Chi Kit
    2011年7月18日 上午 05:40