第07章域的组织和管理

1、域的组织和管理概述当我们完成了域的建立工作后，马上面临的就是如何去管理域。因为在Windows 2000中域作为一个分布式的大型信息库，里面的信息量是可能非常庞大的。在这里，我们把这个工作分为两个部分，也可以认为是两个阶段，就是组织和管理。组织的目的是让域中的信息变得整齐有序，然后才能顺利地完成对域的管理。在域中，组织的工具是组织单元Organizational Unit，而管理的工具是控制授权Delegation of Control。域的组织进入一个域，就如同进入了一个档案库。档案库绝对不会是乱作一团，必然有各种档案柜，档案架，档案夹等，将所有档案存放得整整齐齐。我们当然需要我们的域也是一

2、样的有条理，否则肯定无法有良好的管理。域的组织，实际上就是对域中的对象的组织。域中的对象当我们完成了域的建立工作以后，就可以开始管理域中的对象了。我们使用的是Active Directory Users and Computers管理工具。打开这个管理工具，我们看到是一个象硬盘的资源管理器的一样的画面，里面已经有了很多东西。这些东西都是存放在域数据库中的对象。我们可以在其中点击鼠标右键，选择New，就可以看到我们能够在域中创建的对象的种类。这些对象有：¨ Computer 加入到域中的使用Windows 2000/NT的计算机都有相应着一个帐号，这个对象就在AD的数据库中代表了这些计

3、算机¨ Contact 相当于一种记录个人信息的名片¨ Group 某类用户的组织¨ Organizational Unit AD中的容器对象¨ Printer 在AD中发布的打印机¨ User 用户对象，代表域中的用户¨ Shared Folder 在AD中发布的共享文件夹这些都是Active Directory中定义的对象类型。当然AD提供了完善的可扩展性，用户可以建立自己的对象。其他的一些服务，如Exchange Server 2000, ISA Server 2000等，都会在AD中建立自己的对象。对象的组织一个域可以是一个庞

4、大的数据库，其中包含了大量各种类型的对象，包括用户、组、计算机、打印机等内置类型的对象，也可以包括用户自己定义的对象。这么多的对象聚在一起，如果没有一个合理的存放方式，就好像没有文件柜和文件架的档案库，可以想象你根本无法找到你所需要的档案。如何存放和组织这数量庞大的对象呢？在计算机中，有一种存放东西的方法是我们非常熟悉的。在我们的硬盘分区中，同样存放了大量的档案，也就是各种文件。我们用什么来组织这些文件呢？用的是树型结构的文件夹和子文件夹。文件系统结构对于域中的对象，采用了同样的结构来组织，即树型的对象容器和子容器，相当于文件系统中的文件夹和子文件夹。这种结构能够清楚地分类和存放各种档案，并且

5、最重要的是，这种方式是我们非常熟悉和能够有效使用的方式，因为我们都习惯了用这种方式来组织我们的数量巨大的文件。这对于提高工作的效率是非常有好处的。域的组织结构在文件系统中，组织的关键角色是文件夹，在域中，组织的关键角色就是组织单位Organizational Unit, 简称为OU。OU的特性如果我们将整个Active Directory的数据库看成是一个硬盘分区，那么OU就是这个分区上的文件夹。所以OU和文件夹是非常相似的。OU是Active Directory中的容器(Container)对象。所谓容器对象，就是说其他的对象可以放在这个对象中。例如在AD中我们建立了一个用户（User）对象

6、，起名叫Mike，这个对象就代表了域中的一个人。作为一个域中的对象，他必须被放在某个地方，这个地方就是一个容器。客气一点讲，我们可以说这是这个人住的房间。一旦我们把这个人安排在了指定的房间，他就不可能出现在其他房间中了。其他的对象也是一样的。所以对域中的任何一个对象，都必须位于一个指定的容器当中。如果系统管理员将某个对象移动到了另一个容器，则你在原来的容器中就看不到这个对象了。OU和文件夹的对比为了进一步加深对OU的理解，我们将OU和文件夹做一个对比：¨ 他们都是各自系统中（Active Directory和文件系统）的容器，可以在里面放置其它对象¨ 他们都可以建立树形的结

7、构，文件夹中可以包含子文件夹，OU中可以包含子OU¨ 他们都是用来组织各自系统中的对象¨ 他们都是用类似的安全属性对自己及内部对象的访问进行控制内置的容器我们在提到Active Directory中的容器时，并没有直接称容器为OU，因为在AD中，除了OU外，还存在着少数几个特殊的容器对象。它们不是OU，但它们也是容器。这些容器是Active Directory中系统内置的容器对象，各自有特定的用途。内置的容器对象主要有以下几个：¨ Builtin 存放了一组内置的Local Group对象，如Administrators Group, Users Group, G

8、uests Group等¨ Computers 存放所有加入到域中的计算机的Computer帐户对象¨ Users 缺省存放所有用户对象的容器，内有一些内置的用户对象和域中的Global Group对象，如Domain Admins Group, Domain Users Group, Domain Guests Group等除了这几个内置容器以外，其他的容器就都是OU了。一般情况下OU都是用户自己建立的，除了有一个OU。这个OU的名字是Domain Controllers，其中存放的是域中的所有域控制器DC的计算机帐户对象。这个OU是在建立域的时候由系统自动建立的。实际上

9、在AD中还有一些隐藏的容器，平时看不见，但是当你在View菜单中选择Advanced Features后，这些容器就会出现在域中。¨ LostAndFound 某些系统无法处理的对象会移到此容器中¨ System 存放所有系统对象的容器建立OU OU的建立和配置非常简单，操作如下：1. 打开Active Directory Users and Computers2. 在域中或任何一个OU中，点击鼠标右键，选择Organizational Unit3. 输入OU的名字域的管理我们建立Organizational Unit的第一个目的，是为了将Active Directory中

10、的对象组织起来，就像面对一个巨大的档案库，你必须使用各种档案柜和档案袋一样，这样才能清楚地管理档案。现在这第一个目的已经达到了，但是组织的下一个目标是什么呢？是为了更好的管理。和NTFS文件系统中的文件夹类似，OU也可以配置访问的权限（Permission）。每个OU都有自己的访问控制列表（Access Control List, ACL），其中记录了用户对此OU，对OU中的对象，以及继承到下级OU的各种权限。管理实际上就是对访问权限的设置。Delegation of Control在AD中，管理OU的一个主要目的就是为了分权。在一个很大的域中，如果让administrator一个人来做所有的

11、维护工作是很困难的，工作量大必然会造成响应的延迟，降低工作效率。OU的建立为解决这个问题提供了一个有效的方法。例如，在公司中有一个比较大的部门是销售部门，由于人数较多，所以日常的管理工作也比较多。这个部门有自己的IT支持人员。在AD中，为这个部门建立了一个OU，名字叫Sales Department。现在所谓控制授权（Delegation of Control）的意思就是要将对于Sales Department OU的管理工作交给这个部门自己的IT人员，这样在这个OU中建立新的用户，修改和删除用户信息，建立和管理其它对象等工作，包括邮箱的建立，都可以由这个人完成，不必再要求域的管理员来响应了。

12、Delegation of Control实质上就是OU访问权限的赋予。例如要授权某人可以在OU中建立新的用户，那就是要给于这个人在OU中新建用户对象的权利；如果要委托某人全权管理某个OU，则要给这个人在OU中更大的权限直至完全控制。Delegation of Control WizardAD为授权提供了一个专门的工具，叫做Delegation of Control Wizard。这个工具可以用来帮助域管理员方便快捷地完成常用的授权工作。在OU上点击鼠标右键，选择Delegate Control，这个Wizard就开始运行。首先需要指定要授予管理权限的对象，也就是OU的被授权的管理员。在Wiz

13、ard中，提供了几类常用的授权，包括：¨ Create, delete and manage user accounts¨ Reset passwords on user accounts¨ Read all user information¨ Create, delete and manage groups¨ Modify the membership of a group¨ Manage group policy links从名字上来看，这些授权的目的是很清楚的，这些授权基本上能够满足一般要求。如果需要赋予一些特殊的权限，那么就需

14、要选择Create a custom task delegate。使用这种方式授权，就需要对Active Directory的安全管理机制有更深入的了解。Active Directory安全机制在Delegation of Control Wizard中修改的结果，最终体现在OU和OU内包含的对象的安全性控制上，也就是对象的访问控制列表ACL中。AD中使用的安全控制方式和NTFS文件系统中的安全方式完全相同，只存在着一些细节上的差别。访问控制（Access Control）的概念在访问控制中，有一些重要的概念需要了解：¨ Security Principle安全主体 Security

15、 Principle指的是AD中用户，组，计算机和服务。这几个对象都有帐户（Account）。我们可以给Security Principle赋予权限。¨ Security Identifier（SID） SID是每个安全主体都具有的一个属性，用于在安全控制时标识这个安全主体。SID是一个数字，每个SID在森林中是唯一的。SID存放在每个对象的Object-SID属性中。在Windows 2000中，所有的对象都有自己的GUID。由于GUID比SID更能够保证唯一性，所以AD中用来标识对象。之所以在安全控制中没有使用GUID而采用了SID，米的是为了保持和Windows NT 4.0的

16、兼容，因为在NT 4中使用的是SID。¨ Security Descriptor 这是位于AD对象中的用来完成安全控制的一个数据结构。在Security Descriptor中的信息包括用SID来指定的本对象的所有者（Owner），用于控制用户访问权限的DACL，和用于系统审核的SACL。Access Control Settings配置窗口在AD的对象上单击鼠标右键，选择Properties，然后在对象的属性窗口的Security页中，点击Advanced按钮，就可以打开Access Control Settings窗口。这个窗口实际上就是Security Descriptor的表

17、现，上面的三个属性页Permissions, Auditing和Owner分别代表了Security Descriptor中的DACL, SACL和Owner。注意：属性窗口中的Security页只在选择了View菜单的Advanced Features项后才会出现。访问控制列表在AD中的每个对象，包括OU，都有两个访问控制列表，分别为DACL（Discretionary Access Control List）和SACL（System Access Control List）。DACL用于指定用户对本对象的各种权限，分为Allow和Deny两种情况。在AD对象的属性页的Security属性中

18、，点击Advance按钮，就可以看到DACL。实际上这就是Access Control Settings窗口的Permissions页。Access Control Settings窗口（DACL）DACL由多行组成，每一行定义了一种访问控制，称为一个ACE（Access Control Entry）。每个ACE包含以下的值：¨ ACE的类型，即Allow或Deny¨ SID，指定此ACE的作用对象，一般为用户或组的SID¨ 访问掩码，指定访问的权限¨ 继承标志，指定此ACE的继承方式双击Access Control Settings窗口的Permiss

19、ions页面中的任何一条ACE，就可以编辑这条ACE的详细信息。在此处要注意的是这个ACE的作用范围（Apply onto）。作用范围可以分为两类，一般作用范围和对象作用范围。不同的作用范围有不同的可配置权限。一般作用范围通常有两种情况，容器对象和非容器对象。相对于非容器对象，容器对象如OU和文件夹有一些容器特有的可分配权限，如列出容器中的对象，在容器中建立和删除对象等。一般作用范围常见的包括：¨ This object only¨ This object and all child objects¨ Child objects only对象作用范围可以有进一步的

20、权限管理，可以作用到某一类对象，或对象的某个属性或属性集。例如对于OU，我们可以将某权限的范围限定在OU中的所有用户（User）对象。¨ User objects¨ Contact objects¨ Computer objects¨ Computer policy objects¨ Group objects¨ GroupPolicyContainer Objects还有更多的作用范围都各有自己特定的用途，并且随着更多的软件使用AD来存放信息，它们会在AD中建立自己的对象，同时也会出现它们特定的作用范围。权限的继承Windows 2

21、000在权限方面相对于以前的Windows NT 4.0最大的一个变化是现在的权限是可以继承的了。所谓继承，就是在父容器中设置的权限可以作用到子容器和子容器包含的对象上。权限的继承只出现在容器的权限设置上，因为非容器对象是最末端的对象，不再包含子对象，所以也没有向下继承权限的必要。当然它可以从所在容器及上级容器中继承设置的权限。权限的可继承性大大方便了对系统的管理。前面已经说到，所谓权限的管理，实际上就是由一组针对用户或组设置了不同权限的ACE组成，这些ACE位于对象的DACL中并控制着对此对象的访问。也就是说，每个对象只受到对象自己所带的Security Descriptor中的DACL中A

22、CE列表的控制。那么继承是如何实现的呢？This object and all child objects之类的作用范围又如何起作用呢？实际上这都由Apply onto指定的作用范围决定。每个ACE在建立（定义）时，都需要指定一个作用范围并作为ACE的组成部分之一。我们来看看不同作用范围的不同结果。Permission Entry窗口（ACE）如果我们在高一级的一个OU上新建了一个ACE（通过OU的属性窗口->Security属性页的Advanced按钮->Access Control Settings窗口->Permissions属性页的Add按钮），选择的Apply on

23、to是This object only，则系统只在此OU的DACL中增加了一条ACE，此ACE只对这个OU起作用。如果我们在这个OU上建立一条新的ACE，这次的Apply onto是This object and all child objects，系统首先也是在此OU的DACL增加了一条ACE，然后由于这条ACE的作用范围是所有的子对象，所以在此OU包含的所有对象（包括所有子OU及其中的对象）的DACL中，都会增加一条ACE。所以控制对象安全的仍然是对象自己的DACL中的ACE，只不过这条ACE是从上级对象复制过来的。这就是继承的真相。同样如果Apply onto是Child objects

24、 only，结果也是一样的，只不过这条ACE虽然位于建立它的OU的DACL中，但是受作用范围的限制，它不影响此OU，只影响此OU包含的所有对象。那么作用范围是User objects呢？结果是OU及所有子对象的DACL中都会增加这一条ACE，但是只有当对象类型是User时，ACE才起作用。对于非User对象，虽然它的DACL中也有这条ACE，但是此ACE被忽略。继承自上级对象的ACE在子对象中是不能修改的，我们在ACL中看到的这些ACE是灰色的。要修改这些ACE，必须在建立它们的对象上修改，然后修改的结果，也就是新的ACE，会被复制到所有子对象并替换原来的ACE。删除操作也是一样的情况。那么在

25、AD中新建一个对象又会发生什么情况呢？首先在Schema中存放的对象定义中，包含了一个缺省的Security Descriptor，其中有一些预先定义的好的ACE。建立新的AD对象时，首先从建立它的进程中获得DACL，然后再检查它所在的容器对象，从容器对象的DACL中复制所有可被继承的ACE，最后再从Schema中定义的缺省DACL中复制ACE。所以一般我们可以看到新建的对象的DACL都非常庞大。权限的继承并非完全一路到底的，有一个设置和能否继承相关。在OU对象的属性窗口的Security属性页中，有一个Allow inheritable permissions from parent to

26、propagate to this object选项。如果这一选项没有选择（unchecked），则此OU不再继承来自上级的权限，继承链在此断开。此OU的下级对象只继承来自此OU的权限，而不管再上级的权限了。这一选项在Access Control Settings窗口的下段也有，它们是同一个设置。另外还有一个设置和继承相关，在编辑OU的每个ACE的窗口(Permission Entry窗口)下端，有一个Apply these permissions to objects and/or containers within this container only选项。这一选项是用来控制ACE的作用

27、范围的。选择了这个选项的ACE只能作用到OU的直接下级对象，包括OU和其他对象，但是不再往更下级传递。这个ACE复制到下级OU后，作用范围就办成了This object only。文件系统前面提到的都是在AD中的权限的设置和继承，在此我们顺便回忆一下文件系统。文件系统的权限设置的工作原理和AD的上的工作原理是完全类似的，区别在于具体的权限设置和作用范围略有不同。NTFS的文件权限远没有AD多，因为AD中对象的管理权限会不断增加，尤其在安装了其他使用AD的软件，如Exchange 2000等以后。因为这些软件将它们自己的对象也存放到了AD中，AD就一视同仁进行管理。文件权限的作用范围同样不太一样

28、，主要有：¨ This folder only¨ This folder, subfolder and files¨ This folder and subfolders¨ This folder and files¨ Subfolders and files only¨ Subfolders only¨ Files only我们可以对照前面的内容和这些设置清楚地了解它们的作用方式。OU的规划Organizational Unit是我们用来建立域中的组织结构的工具，OU的建立直接构成了域的结构。所以我们必须有建立OU的详细规划。OU的特点我们先来回顾一下OU的特点：¨ OU可以嵌套，即OU中可以包含子OU¨ OU可以用于管理授权和访问控制¨ OU不是安全主体，虽然OU中包含对象，但是我们不能给OU赋予访问其它对象的权限¨ 组策略和OU关联，组策略关联的对象是Site, Domain和OU，关于组策略在后续章节讲解OU的目的不是让用户查看对象。虽然OU象文件夹一样可以让用户清楚地查找对象