AD域控规划方案

1、活动目录AD规划方案1.1. 活动目录介绍活动目录就是Windows网络体系结构中一个基本且不可分割得部分，它为网络得用户、管理员与应用程序提供了一套分布式网络环境设计得目录服务。活动目录使得组织机构可以有效地对有关网络资源与用户得信息进行共享与管理。另外，目录服务在网络安全方面也扮演着中心授权机构得角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源得访问。同等重要得就是，活动目录还担当着系统集成与巩固管理任务得集合点。活动目录提供了对基丁Windows得用户账号、客户、服务器与应用程序进行管理得唯一点。同时，它也帮助组织机构通过使用基丁Windows得应用程序与与Windows相兼

2、容得设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统得管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet±0活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易丁管理、更安全、更易丁交互所需得全部费用。活动目录就是微软各种应用软件运行得必要与基础得条件。下图表示出活动目录成为各种应用软件得中心。*Willepages rxJczsUsersAccouniinloPrivileges-FrafihfPolicyWindomOtherSenderconli-咨陶I*Sign-Onilpp-rpscifitdirt

3、cicr/info-PolicyEMmilS自ruE5-MailbcuinfoaddressbookOther-Userregistry-&iiurltyI-PolicyWndows亡limnful-Mgmtprofile-N?tv/&rkinf凸-Policyf.ActiveDirectoryAFocalPointfor:1Mamgeahilily-ScGurit/.InteniperabilityHetiork口外1。矣-Configuration,QoSpalisy,轴turitypolicyWridcixvs腿rverw-SmlMfPriHtlH-FH*sharesPo

4、licyFi臼wall*ConfloLnitionSecurityPolicyYPNpQlipy-1.2. 应用Windows2012ServerAD得好处Windows2012AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源得管理提供了一种集中化得方法。应用Windows2012AD之后，企业信息化建设者与网络管理员可以从中获得如下好处1、方便管理，权限管理比较集中，管理人员可以较好得管理计算机资源。2、安全性高，有利于企业得一些保密资料得管理，比如一个文件只能让某一个人瞧，或者指定人员可以瞧，但不可以删/改/移等。3、方便对用户操作进行权限设置，可以分发，指派

5、软件等，实现网络内得软件一起安装。4、很多服务必须建立在域环境中，对管理员来说有好处：统一管理，方便在MS软件方面集成，如ISAEXCHANGE（邮件服务器）、ISASERVER（上网得各种设置与管理）等。5、使用漫游账户与文件夹重定向技术，个人账户得工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户得数据更加安全、有保障。6、方便用户使用各种资源。7、SMS（SystemManagementServe能够分发应用程序、系统补丁等，用户可以选择安装也可以由系统管理员指派自动安装。并能集中管理系统补丁（如WindowsUpdates），不需每台客户端服务器都下载同样得补丁，从而节省大量

6、网络带宽。8、资源共享用户与管理员可以不知道她们所需要得对象得确切名称，但就是她们可能知道这个对象得一个或多个届性，她们可以通过查找对象得部分届性在域中得到一个所有已知届性相匹配得对象列表，通过域使得基于一个或者多个对象届性来查找一个对象变得可能。9、管理A、域控制器集中管理用户对网络得访问，如登录、验证、访问目录与共享资源。为了简化管理,所有域中得域控制器都就是平等得，您可以在任何域控制器上进行修改，这种更新可以复制到域中所有得其她域控制器上。B、域得实施通过提供对网络上所有对象得单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源得单点登录，管理远可以登录到一台计算机来管理网络中任

7、何计算机上得管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放得全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中得服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中得资源或无法获得未登陆域得服务。10、可扩展性在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量得对象。因此，目录可以随着组织得增长而一同扩展，允许用户从一个具有几白个对象得小得安装环境发展成拥有几白万对象得大型安装环境。11、安全性域为用户提供了单一得登录过程来访问网络资源，如所有她们具有权限得文件、打印机与应用程序资源。也就就是说，用户可以登录到一台计算机来使用网

8、络上另外一台计算机上得资源，只要用户具有对资源得合适权限。域通过对用户权限合适得划分，确定了只有对特定资源有合法权限得用户才能使用该资源，从而保障了资源使用得合法性与安全性。12、可冗余性每个域控制器保存与维护目录得一个副本。在域中，您创建得每一个用户帐号都会对应目录得一个记录。当用户登录到域中得计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，她们会定期得相互复制目录信息，域控制器问得数据复制，促使用户信息发生改变时（比如用户修改了口令），可以迅速得复制到其她得域控制器上，这样当一台域控制器出现故障时，用户仍然可以通过其她得域控制进行登录，保障了网络得顺

9、利运行。1.3. 明确系统规划目标企业得Windows2012AD系统规划构建就是为企业信息化建设服务得，需要达到以下战略目标:围绕企业得战略发展需要，进行企业信息化建设系统规划，满足企业35年得业务发展对IT建设得要求；以业务为驱动，通过有效得信息系统，加强信息共享与协同办公，提高工作效率，降低成本；整合企业现有信息资产，加强企业管理与监控；从信息中挖掘知识，提高经营决策与驾驭风险得能力；推进知识管理理念，建立知识型企业，增强企业得核心竞争力。Windows2012AD系统规划实施得具体目标如下:规划与部署基于Windows2012AD得企业目录服务，首先实现用户得单一登录，保障网络系统安全

10、；通过AD实现用户桌面得集中与自动管理，分发软件补丁；进一步部署微软得相关应用平台软件，如实现基于Exchange2003得企业内部邮件与协作服务，1.4. 活动目录设计方案为企业设计一个域，用户得所有计算机(服务器与客户机)全部加入到域，用户实现单一登录与管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下。1. 活动目录优势计算机工作组管理与AD管理比较对丁基丁MicrosoftWindows操作系统得计算机运行与管理在两种模式下：工作组(workgroup)与域(domain)0在工作组模式下，计算机处丁一个孤立状态，使用计算机得用户登录帐号与计算机得管理均须在每台计算机上创建或进行。

11、见下图。Workgroup当计算机超过20台以上时，计算机得管理变得越来越困难，并且要为用户创建越来越多得访问网络资源得帐号，用户要记住多个访问不同资源得帐号。而在域得模式下，用户只需记住一个域帐号，即可登录访问域中得资源。并且管理员通过组策略，可以轻松配置用户得桌面工作环境与加强计算机安全设置。域模式下所有得域帐号保存在域控制器得活动目录数据库中。见下图。2. 为什么要提供目录服务？对更加强大、透明且高度集成得目录服务得不断需求就是由爆炸性增长得网络计算所导致得。随着局域网(LAN)、广域网(WAN)规模与复杂性得不断提高与这些网络不断被连入Internet，以及应用程序对网络得依赖程度不断

12、增强并不断被链接到协作企业网中得其它系统上，对目录服务得需求也日渐增多。基丁下列原因，目录服务成为扩展得计算机系统中最重要得部件之一:简化管理提供对用户、应用程序与设备得单一、一致性得管理点。加强安全性向用户提供单一得网络资源登录，为管理员提供强大、一致性得工具以使她们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供得安全服务。扩展得互操作性向所有活动目录特性提供基丁标准得存取方式以及对通用目录得同步支持。目录服务兼任管理工具与用户工具。随着网络中对象数量得增加，目录服务变得必不可少。目录服务在一个庞大得分布式系统中发挥着网络集线器得作用。致力丁这些需求,Windows2000服

13、务器版引入了活动目录即一套用丁改进Windows网络操作系统管理、安全性与互操作性得完整得目录服务集。下图描述了活动目录带来得计算机安全与管理上得一些最重要得好处。3. AD简化了计算机系统管理分布式系统常常导致时间得消耗与管理得冗余。当公司在她们得基础结构上添加应用程序并雇用新得职员时，她们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一得位置管理用户、组与网络资源以及分发软件与管理桌面系统配置，活动目录可以显著降低公司得管理费用。例如，活动目录在同一个位置管理Windows用户与MicrosoftExchange邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理

14、：消除冗余管理任务提供对Windows用户账号、客户、服务器与应用程序以及现存目录同步能力进行单一点管理。降低桌面系统得行程针对用户在公司中所担当得角色自动向其分发软件，以减少或消除系统管理员为软件安装与配置而安排得多次行程。更好得实现IT资源得最大化安全地将管理功能分派到组织机构得所有层次上。降低总体拥有成本(TCO)通过使网络资源容易被定位、配置与使用来简化对文件与打印服务得管理与使用。加强安全性强大且一致得安全服务对企业网络而言就是必不可少得。管理用户验证与访问控制得工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构得商业过程一致、且基于角色得安全性。例如，对多身份验证协

15、议(如Kerberos,X、509认证以及由灵活得访问控制模型组成得智能卡)得支持实现了对于内部桌面系统用户、远程拨号用户与外部电子商务客户强大且一致得安全服务。活动目录使用以下方法增强安全性：改进了密码得安全性与管理通过向网络资源提供单一得集成、高性能且对终端用户透明得安全服务。保证桌面系统得功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。加速电子商务得部署通过提供对安全得Internet标准协议与身份验证机制得内建支持，如Kerberos，公开密钥基础设施(PKI)与安全套接字协议层(SSL)之上得轻便目录访问协议(LDAP)。紧密得控

16、制安全性通过对目录对象与构成她们得单独数据元素设置访问控制特权。重要组策略介绍1.软件分发策略通过组策略可以为域中得计算机或用户自动分发带有msi包得软件。见下图DefauliDomairiPolicymaizisrv"策四I-圈计尊机日匿a=i驮件设宣Nr二日"IIVinlo'WESjmF目跆sa?1i3-邑：hJS:r3''_a、+1T羌兹同绪(IEKE即土11)策略亩二I公胡策略由_|物牛限制策昭±jIF安全策略.<£ActiveDirectdt，亩-(管理棋板F威用尸配置3二|鞭件祓置*IVl'inlows设

17、置3-_|管理模初名祢软彳!程序包(L).2.将用户得个人数据从pc机上重定向到服务器上重定向有利于数据得安全以及集中备份。见下图。V?DefaultDfinaiftFfilicyiftiittsrv.sisi.藁国曰即计戢项置!田二I歌件设置0_JWini&vs设置3_|邕理模拔S震用户配置曰妇_|软件祓置国软件安装0Windgw设置名旃刎溟程安装服普.苜脚本倍景/定箱号日Qg件头重定向|Applieitica二我的文档J开蜘菜单V同如工AtMrnttExpLoror维护3二I营理棋板3.安全类组策略密码策略强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关得唯量。配置密码最长

18、使用期限”设置，以便密码在环境需要时过期。新密码得数密码最短使用期限”设置确定了用户更改密码之前必须使用密码得天数。最短密码长度”设置确保密码至少包含指定数量得字符。的逐场再可符宣3?卓姓槊$翊密叫血房小信葭痊讦最甘阳用部医既I蹴第略逸巨已纳5个字芯1天24十记佐的荷已禁用密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码得基本要求。DtisuLtJontinPolicy(miLTisrv.listi.torr藁日.-i圜计甘tn配置；iu鞭凭置3Cjtfiiuifvi设置9的车侑动/关翅J安全程苣已窘帏屋通账号锁定策略帐户锁定策略就是一项WindowsServer2012安全

19、功能，它在指定时间段内多次登录尝试失败后锁定用户帐户。允许得尝试次数与时间段就是由为安全策略锁定设置配置得值决定得。用户不能登录到锁定得帐户。帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历得时间长度帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户得次数。复位帐户锁定计数器”设置决定了帐户锁定阈值”复位为0以及帐户被解锁之前所必须经过得时间长度。网复酝韩尸就定计财器画吐尸航中时1同I策军澳苣ift"叉nW无华登拳2UrCiBltDin!iiUFuL;uynillelzv.ljuqC«m策田回屈t食机如置i官：敦件浪胃国图本笆珈湖1；白-序安全设

20、再-一孑盼祢一乡卷哄略!昌禁用本地管理员帐号默认情况下，每台加入到域中得计算机都有Administrator与Guest两个帐号.Administrator帐号在安装时口令为空。用户使用这个帐号权限过大，因此一般不会给用户使用这个管理员帐号，最好得做法就就是通过组策略禁用这个帐号，用户使用域得帐号。破冷初布.冗口脂务寄保住国汀利仕备祺&JEXr优尸：苜母员杵尸炫没有定义粮尸：来宾帏户状痣没有定义幡尸：窗空白密蹄库幽帐口只怆洋进行控制台萱录没有定义助谜尸：重命名束命帐户没有定义b踵怪户本命名盔毓管翌昂帐口没芍定义将域帐号加入到每台PC机得本地PowerUsers组中创建域帐号时，默认情况

21、下这个帐号只届丁DomainUsers组中，该组届丁每台PC机得本地Users组。本地Users组中得成员权限受到严格限制，比如共享文件火，安装打印机驱动程序等工作得权限都没有。而经常有用户需要这些权限，可以通过组策略来实现。身事件旦表爰慌制曲狙定甘系硒务店U注册表ELJ文件泵场±Y股网籍土一尸1寿译日帖聘打开(Q)添碰或)复制©粘贴。禁用系统服务我们可以我们为优化系统与安全性考虑，经常要禁用计算机得一些无需运行得服务。通过组策略把这些服务禁用掉。T二律手疵-T私丽mn6Kii'?na3_r#g3d王S,IF柬兰黄噬EKMiwDiitcLcr'田_|竺攻琪哇

22、三播用户配直由歌停役岂SLYiniMi*二驾理地点匾rflBEX很互破yurtwEi亦办普。WatrftKX洗明列软件限制策略对一些规定不得使用得软件可以通过组策略来禁用：路径规则：特殊文件路径下得软件不得使用：如programfiles下得某些软件证书规则：只有系统管理员颁发过证书得软件可以使用，其她软件禁止使用哈希规则：对禁止使用得软件通过哈希运算得到这个软件得身份指纹，在组策略里设置只要就是符合身份指纹鉴定得软件就进行限制-曰软件明制策略I安全0J别真他现贝亩MIF安全策略由_J首理稹菠s4用尸配直$口软件祓置|4-f-IW；nlovrw没置E-LJ管理棋板新建证书规则(C).新建帽希规

23、则叩新建Int*rnel区域规则(I)新建路径规则企"，所有任奖)网络连接控制策略用户经常会通过改变“网络连接”中得设置，绕过企业防火墙，建立自己得上网链路比如电话拨号上网。这样会带来很大得安全隐患。可以通过组策略限制用户不得改变网络连接中得配置，不允许用户通过其她方式连接互联网。CefaiilI0unaiaTuljcymatnsrv.sica.cm嘿启二部计姬机配置1±1_轶伴设置±_hudM&置M_曾理膜根H_J软件咬宣软伸咬装白”面g设置果，远程度策服蚓曾，脚本度录屈知：片岳实全设宣|It以埒快重定向f氧ruust土口如知A莒理港循定tfniKjff

24、i期件任砰和-顽.莱单亩嘉面母面CJ*文件夹百口网_J夙机瓦件网溶建按S-O系藐$重号名3理授式重命岳所育毛户田用的屉程谊I苴注接闵.：i莹1_诃何IA?建接蛆牛的国性扇票£仍间翊仍何连援挹件保底性宰禁用TTFJIPM如舌魏禁二到荚军上的*朝佃T的访向插孳二树H成由眸用于W淳接或远程访司建接的旄件菜吐海苛L心连援由剧主禁工日用，莱千LAI遂畏的翅版帛更改所有用尸朝曲讶倒5的尾性苗票12型专用网沏耳苗的雇性亩禁f阵远样讷问拜樗书卅阵所有用尸远得滴曰连某*基匚笛跆时用圣蜀五留方司刍接淳与用J禁用LAI在物肪审禁匚访问,嘲建狂弟同导'S重点名B蓑接的盈力3重的筋有用户远程访昵釜如吵

25、.圣嘉匚重命名专用远程订孵羞用禁I讷问“高钢”«I的“正励同首林"律弟用鬲别港看活刮拜持ER科审.甘苦卧目用*血*5*100阿御再卷直*迁接鄢监廓SjlMRT美闭遂列计算机从工作组加入到域可能存在得问题与解决方法把计算机从工作组模式加入到域模式可能会出现以下二个问题问题：1. 一些软件不能使用。有一些软件以登录者得管理员权限帐号运行，当计算机加入到域并对登录帐号做了权限设置，或禁用了本地管理员帐号，这些需要管理员权限运行得软件就有可能不能正常运行。用户桌面环境发生改变。由丁加入域前后用户就是用不同得帐号登录得，因此用户以前得桌面环境无法使用。具体有桌面上放置得资料“我得文档

26、”等放置得资料配置好得“网络打印机”IE里设置好得“网站收藏火”等。解决方法：1. 对问题1我们可以按以下两个方法来解决：(1) 把域帐号加入到本地管理员组卸载软件,用域帐号登录并安装2. 对问题2针对不同得问题分别解决如下:2.1. 把本地老帐号下得桌面内容全部备份下来，复制到新域帐号得桌面把本地老帐号下得“我得文档”内容全部备份下来，复制到新域帐号得“我得文档”重新连接与创建“网络打印机”用特殊软件把老帐号IE里得“网站收藏火”备份下来，然后恢复到新域帐号中2.活动目录方案实施AD域命名与DNS得规划Windows2012AD域命名与DNS得规划之所以放在首要地位，就是因为AD作为整个IT

27、架构得基础，不应该轻易被调整。尽管安装后,Windows2012AD仍然可以重组与改名，这一点比Windows2000AD有了很大得进步，但就是我们仍然建议做一个长远规划，使得域命名与DNS服务能够满足企业35年得需求，尽量避免配置好后改作调整地巨大人力物力浪费。此外，部署Windows2012AD,还必须确定DNS服务器，确保它们满足域控制器定位器系统得要求。一个支持AD得DNS至少需要满足以下要求：必须支持服务定位资源记录(SRV)应该支持DNS动态更新协议(RFC2136)Windows2012Server提供得DNS服务同时满足这些要求，并且还提供下列重要得附加功能与改进：Active

28、Directory集成:DNS服务把区域数据存储在目录中，使得DNS复制创建多个主域，也减少了对维护一个单独得DNS区域传送复制拓扑得要求。安全动态更新：使得一个管理员可以精确地控制哪些计算机可以更新哪些名称，并防止未经授权得计算机从DNS获得现有得名称。条件转发：根据不同得对外访问得域名后缀，可以将用户得DNS名称解析请求转发到不同得外部DNS服务器。存根区域:可以定时地刷新与外部DNS服务器得连接，及时发现那些可能有故障、不再响应用户请求得服务器，提高用户DNS名称解析得效率。2.2. 确定AD逻辑结构Windows2012活动目录得逻辑结构由三个基本组件组成：森林、域与OU。1、确定森林

29、规划森林就是Windows2012AD域得集合。在很多情况下，单一森林就足够了。单一森林环境易于建立与维护，森林问得域自动建立双向可传递内部信任关系，不要求手动建立外部信任配置,在安装Exchange2012Serve等应用程序时，只需应用一次架构更改即可影响所有域。如果各个单位有下列管理要求，就必须建立一个以上得森林：不互相信任管理员。希望限制信任关系范围。不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有得域。如果单位不同意一个公共架构策略，它们就不能共存于同一个森林中。2、制定域规划规划域结构时，始终遵循“简单就是最好得投资”得设计原则，尽管增加某些复杂结构可以增值，但就是

30、简单得结构更易于说明、维护与调试。一开始时总就是仅考虑每个森林中仅有一个域，然后为每一个增加得新域提供详细得理由，确保添加到森林中得域都就是有益得因为它们会带来相应得管理开销而导致一定程度得成本上升。创建更多得域得三种可能得原因就是：希望实现相对分散式得IT管理模式：多域结构更容易进行相对独立得管理、委派与权限控制。另外，不同得用户帐户在一个域内就是不能出现重名得，多域之间就没有限制。对于人士管理相对独立得集团下届公司，多域结构具有更好得灵活性。希望实现不同管理策略要求：包括用户口令策略、账户锁定策略与EFS加密策略。例如，要求某些人必须取8个字符以上得口令，而其它人不做限制。为此，必须将这些

31、需要不同安全策略得用户放在单独得域中。希望减小WAN上得复制流量：域控制器域问复制将产生比域内复制少得多得流量。如果公司很大，具有跨地区得组织结构，且处于同一个森林内，则在不同地理位置上得机构可能使用慢速得WAN链路连接。为减少WAN上得DC复制流量，可以在不同得地理位置设置不同得域。根据以上考虑，我们建议，企业Windows2012AD域逻辑结构可以采用“单森林、单域”得结构设计。2.3. 确定AD物理结构考虑到企业得地理分布情况，应该考虑使用多站点拓扑来规划Windows2012AD物理结构。从绘制基本得网络拓扑布局图着手工作，绘制所有可能得站点(Site)与站点链接(SiteLink)。

32、速度快(10Mbps以上)、连接可靠得LAN网络总就是放置在单站点中。站点定义为一组通过快速、可靠得线路连接起来得IP子网。一般而言'，具有LAN速度或更快速度得网络被认为就是快速网络。窄带得、或不太可靠得连接可以使用站点链接建立多站点网络。通常,WAN连接一般被认为就是窄带连接。如果建立站点链接，实现多站点网络模式则：客户计算机在登录到域时首先试图与位于同一站点得DC通信；Windows2012AD复制使用站点拓扑产生复制连接。2.4. 规划OU结构与组策略组织单元(OU)就是一个用来在域中创建分层管理单位得容器。在域中创建OU结构时，必须注意始终按照“谁管理什么”得原则，从IT管理

33、得需要出发，划分管理模型得结构，而不就是简单按照公司业务单位与它得不同分支、部门与项目来创建OU结构。考虑OU得下列特性就是很重要得：OU可以就是嵌套得。一个OU可以包含子OU，使得可以在域中创建一个分层得目录树结构。但就是嵌套太多将导致管理复杂与低效，所以建议以二级嵌套为最理想，最多不应超过四级嵌套。OU可以用来委派管理与控制对目录对象得访问。不能使OU成为安全组得成员，也不能因为用户被委派管理OU或驻留在OU中而自动获得访问资源得权限。可以在OU上实施组策略。组策略就是基于Windows2012注册表得修改，从而集中控制用户与计算机得工作环境、桌面配置、软件自动安装与删除得管理手段。一般而

34、言，安全策略必须在域级别实施，其它策略主要在OU级别实施。不鼓励用户在OU结构中浏览。没有必要设计一个吸引最终用户得OU结构。尽管用户有可能浏览一个域得OU结构，但对于用户查找资源来说，这并不就是一个最有效得方法。在目录中查找资源得最有效得方法就是查询全局编录。有两个理由需要在Windows2012域中创建OU结构：创建OU以管理对象与委派授权。为组策略创建OU。一个完全为管理与委派而设计得OU结构与一个完全为组策略而设计得OU结构就是不同得。OU结构将很快变得相当复杂。每次添加一个OU到规划中时，要记下创建得具体原因。这有助于确保每个OU有一个目得，并将帮助阅读规划得人理解结构所基于得理由。

35、2.5. 创建OU以管理与委派在单位中委派管理有一些好处。以前，在单位中除了IT之外得组可能必须将更改请求提交到高级管理员，高级管理员代表她们进行更改。委派特定得权限可以将责任分散到单位中得各个组，使您可以将必须有高级访问权限得用户得数量降到最少。权限受到限制得管理员所发生得事故或错误所产生得影响只限于她们负责得范围。这一工作包括以下步骤：确定创建何种OU创建得OU结构将完全取决于管理就是如何在单位中委派得。委派管理得三种方法就是:按物理位置、按业务单位(公司部门)、按角色或任务。三种方法经常结合使用。修改访问控制列表：修改OU得访问控制列表(ACL)可以授予一个组对OU得特定权限，从而实现对

36、该OU得委派管理。尽量委派权限给组账户而不就是单独得用户，如果可能，委派到本地组而不就是全局组或通用组。委派步骤。从域中得默认结构开始，按下列主要步骤创建OU结构：-通过委派完全控制创建OU得顶层；-创建OU得下层来委派每个对象类别控制。2.6. 创建OU支持组策略使用Windows2012,可以使用组策略定义用户与计算机配置，并将这些策略与站点、域或OU关联。就是否要创建附加得OU以支持组策略得应用取决于制定得策略以及所选择得实现方案，包括：定义客户计算机得管理与桌面配置标准定义软件得自动分发特殊组策略应用配置与管理在Windows2012中，组策略设置就是管理员启用集中更改与配置客户计算机管理得主要方法。可用组策略为某个特定得用户组与计算机组创建指定得安全限制与桌面环境配置。Windows2012组策略有100多种与安全有关得设置与450多种基于注册表得设置为您管理用户计算机环境提供了众多选项。Windows2003组策略：可根据活动目录定义或在计算机本地进行定义；可用Microsoft管理控制台(MMC)或*、adm文件保存与管理；就是安全得；不会在实施得策略改变时把设置留在