实验组织单位和委派控制

1、广东科学技术职业学院计算机工程技术学院(软件学院)实 验 报 告专业 班级 成绩评定_学号 姓名 (合作者_号_) 教师签名 实验 五 题目 组织单位和委派控制 第 周星期 第 节一、 实验目的与要求创建组织单位移动Active Directory域对象组织单位的控制委派修改Active Directory对象的权限二、 实验环境及方案实验5.1 创建组织单位目的：1 创建组织单位场景：你是Nwtraders公司的系统管理员，现在需要创建一个基于位置层次结构设计的组织单位，将便携式计算机和台式计算机相互分开。 图5.1 显示出需要在“Nwtraders”域中创建的内容。你还需要在IT Test

2、组织单位中创建一个Glasgow城市组织单位。LocationsComputersLaptopsDesktops 图 5.1 “Locations”组织单位结构基本实验步骤：（1） 创建“Computer”、“Laptops”和“Desktops”三个组织单位1选择Glasgow计算机，以管理员Administrator域账户用户登录到域。2在GlasgowMMC 管理控制台树中，展开“Active Directory用户和计算机”，展开“nwtraders.msft ”域，单击“nwtraders.msft”域。按右键， 指向“新建”，然后单击“组织单位”。3如上图所示，创建四个组

3、织单位4. 验证以上组织单位是否创建成功？ 5关闭并保存“GlassgowMMC”。拓展实验步骤：（自己完善实验步骤）（2）使用“dsadd”命令创建一个Glasgow组织单位1选择Glasgow计算机，以glasgowuser域账户用户登录到域。2 在locations组织单位下创建一个子组织单位：glasgow深入思考：（自己设计实验步骤并验证）（1） 什么用户可以创建组织单位？nwtradersadministrators组；nwtradersdomain admins组；nwtradersenterprise admins组； nwtradersaccount operators组？实

4、验5.2 修改Active Directory对象的权限目的： 1. 增加或修改权限2. 修改或查看特殊权限3. 修改权限继承场景：你作为一名系统管理员，可以通过检查授予用户的对象访问权限，确定用户是否有权使用此对象。当允许和拒绝对象的权限时，新的设计将覆盖从父对象继承的权限。基本实验步骤：（1） 查看权限1选择london计算机，以管理员Administrator域账户用户登录到域。2从“开始”-“管理工具”，展开“Active Directory用户和计算机”，定位到locations组织单位。3如果尚未启用“高级功能”， 在“Active Directory用户和计算机”的“查看”菜单上

5、，单击“高级功能”。4右键单击locations组织单位，然后单击“属性”。5在“属性”对话框的“安全”选项卡上，单击“添加”。6在“选择用户、计算机或组”对话框的“输入对象名称来选择”框中，输入用户名glasgowuser。然后单击“确定”。7请问glasgowuser用户帐户对locations组织单位有哪些权限？ （2） 修改权限1承接上一步，对glasgowuser增加权限2在“属性”对话框的“安全”选项卡上，在“组和用户名称”框中，选择“glasgowuser”用户账户。在“权限”框中，选择“允许创建所有子对象”复选框。3单击“确定”。（3）验证权限1.选择Glasgow计算机，以管

6、理员Administrator域账户用户登录到域。2在GlasgowMMC 管理控制台树中，展开“Active Directory用户和计算机”，展开“nwtraders.msft ”域，右键单击“locations”组织单位，选择“新建”，3.查看glasgowuser能创建什么对象？glasgowuser能删除对象吗？2右键单击“computer”组织单位，有“新建”子菜单吗？查看glasgowuser能创建什么对象？拓展实验步骤：（1）查看特殊权限1右键单击locations组织单位，然后单击“属性”。2在“属性”对话框的“安全”选项卡上，单击“高级”。3在“高级安全设置”对话

7、框中的“权限”选项卡上，单击“权限项目”名称为“glasgowuser”记录，然后单击“编辑”。4在“locations的权限项目”对话框中单击“属性”选项卡，以查看特定属性的权限，请记录glasgowuser用户帐户对locations组织单位有哪些特殊权限？5.在computer组织单位上重复1-4步。查看glasgowuser用户对computer组织单位的权限。(2) 修改权限继承1右键单击locations组织单位，然后单击“属性”。2在“属性”对话框的“安全”选项卡上，单击“高级”。3在“高级安全设置”对话框中的“权限”选项卡上，单击“权限项目”名称为“glasgowuser”记录

8、，然后单击“编辑”。4在“locations的权限项目”对话框中单击“属性”选项卡上，在“应用到”栏中选择“这个对象及全部子对象”。5查看glasgowuser用户帐户对computer组织单位有哪些权限？（比较上一次看到的权限，注意有什么不同）深入思考：（1） 如果希望desktops组织单位不受上级对象权限的限制，而独立对用户进行授权，该如何做？（2） 有一个组locationadmins对locations组织单位有读，写，创建子对象和删除子对象的权限，但作为组的成员glasgowuser不能对desktops组织单位有创建子对象和删除子对象的权限。如何实现？实验5.3 移动Active

9、 Directory域对象对权限的影响目的：1将域对象从一个组织单位移动到另一个组织单位场景：你需要从locations组织单位中的对象移动到IT Test组织单位中。基本实验步骤：1选择Glasgow计算机，以管理员Administrator域账户用户登录到域。2在GlasgowMMC 管理控制台树中，展开“Active Directory用户和计算机”，3组织单位locations，选择laptops组织单位，按右键，选择“移动”。4在“移动”对话框中，选择“IT Test”组织单位，然后单击“确定”。5检查“IT Test”组织单位，确认移动是否成功？ 6右键单击laptops组织单位，

10、选择“属性”-“安全”-“高级”-“有效权限”7在“组和用户名称”中，选择“glasgowuser”用户，查看glasgowuser用户的全部权限。（请注意，在原来的位置，glasgowuser用户对laptops组织单位是有一定权限的）8把laptops组织单位移回原来的位置，重复步骤：6-7深入思考：用户zhangsan对某个组织单位有完全控制的权限，如果这个组织单位移动到其他组织单位中，zhangsan对该组织单位的权限是否保持不变？实验5.4 组织单位的控制委派目的：1 委派“glasgow”组织单位的控制权限2 测试为“glasgow”组织单位委派的权限3 委派“computer”组

11、织单位的控制权限4 测试为“computer”组织单位委派的权限场景：为了使管理员分担工作量，Nwtraders公司希望管理员在各自指定的组织单位中完成一些特定任务。因此，在下列组织单位中委派以下任务：基本实验步骤：l 组织单位 ：Locations/Glasgow任务：在组织单位中创建和删除计算机账户（1） 委派“glasgow”组织单位的控制权限1选择Glasgow计算机，以管理员Administrator域账户用户登录到域。2在GlasgowMMC 管理控制台树中，展开“Active Directory用户和计算机”，定位到Locations/Glasgow，右键单击“Glasgow”,

12、然后单击“委派控制”。3在“控制委派向导”中的“欢迎使用控制委派向导”页上，单击“下一步”。4在“用户和组”页上，添加“bonnUser”用户，然后单击“下一步”。5在“要委派的任务”上，单击“创建自定义任务去委派”，然后单击“下一步”。6在“Active Directory对象类型选择”页上，单击“只在这个文件夹中的下列对象”，然后选择“计算机对象”复选框。7选择“在这个文件夹中创建所选对象”和“删除在这个文件夹中的选择的对象” 复选框，然后单击“下一步”。8在“权限”页上，选择“常规”复选框。9在“权限”页上，选择“读取”和“写入”复选框，然后单击“下一步”。10在“完成控制委派向导”页上

13、，单击“完成”。（2） 测试为“glasgow”组织单位委派的权限1 注销，以bonnuser用户账户登录到域。2 打开GlasgowMMC 管理控制台。3 在“Active Directory用户和计算机”中，用以下参数创建计算机账户：l 位置：Locations/Glasgowl 计算机账户名：GlasTest 4 关闭GlasgowMMC 管理控制台。拓展实验步骤：l 组织单位 ：Locations/computer任务1：重设用户密码并强制在下次登录时更改密码任务2：读取所有用户信息（3） 委派“Users”组织单位的控制权限1选择Glasgow计算机，以管理员Administrato

14、r域账户用户登录到域。2在GlasgowMMC 管理控制台树中，展开“Active Directory用户和计算机”，定位到Locations，右键单击“computer”,然后单击“委派控制”。 3在“控制委派向导”中的“欢迎使用控制委派向导”页上，单击“下一步”。4在“用户和组”页上，添加“denverUser”用户，然后单击“下一步”。5委派下列常见任务：l 重设用户密码并强制在下次登录时更改密码（注意，在权限分配表中没有这一条权限）l 读取所有用户信息6单击“下一步”， 然后单击“完成”。（4） 测试为“computer”组织单位委派的权限1注销，以denverUser用户账户登录到域。2打开GlasgowMMC 管理控制台