Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目17 组织单位规划与权限管理

项目17组织单位规划与权限管理组织单位组织单位和组账户之间的区别组织单位与其他活动目录对象的区别组织单位的常规管理任务目录组织单位组织单位组织单位（OrganizationalUnit，简称OU）是一种重要的逻辑容器，通过前序项目的实践可以知道：组织单位一般与公司的行政管理部门相对应，是一个活动目录对象的容器。在组织单位中可以有用户账户、组账户、计算机、打印机、共享文件夹、子组织单位等对象，组织单位是活动目录中最小的管理单元。组织单位如果一个公司拥有上千人，那么该公司的管理通常会设立领导层、各管理层，利用分层管理将管理的权限下放，从而减少每个管理人员需要管理的事情，提高整个企业的管理水平。当域中的对象非常多时，也需要进行管理权限的下放，如果所有权限都集中到域管理员，假如每天有20个用户因为忘记密码而无法登录域，并且通知管理员需要更改密码，管理员的管理任务和日常工作就会变得十分繁杂。这时，如果适当地将一些管理权限进行下放，就可以减轻管理员的工作负担，从而提高管理效率。域管理员业务部管理员财务部管理员组织单位的功能1.逻辑分组与组织分层结构：组织单位可以创建多层的层次结构，形成一个树状结构。这种结构允许管理员按照部门、地区、项目等划分来组织对象，使得网络资源的管理更加清晰和有序。容器作用：组织单位不是物理上的划分，而是通过域活动目录的架构来组织对象。它提供了一个逻辑上的分组方式，使得相关对象能够被集中管理和访问。组织单位的功能2.管理权限与委派管理权限：组织单位可以授予不同的管理员或用户特定的管理权限，如创建用户、分配权限、设置策略等。这种权限委派机制使得网络管理更加灵活和高效。安全性：通过精细的权限控制，组织单位能够确保只有经过授权的用户才能访问和管理特定范围内的对象，从而提高了网络的安全性。组织单位的功能3.策略应用与继承组策略应用：组织单位是组策略（GroupPolicy）应用的一个重要作用域。管理员可以在组织单位上链接组策略对象（GPO），以便将策略应用到该组织单位及其子组织单位中的所有对象上。策略继承：默认情况下，子组织单位会继承其父组织单位的组策略设置。这种继承机制使得策略的配置和管理更加便捷和高效。同时，管理员也可以根据需要阻止或覆盖继承的策略设置。组织单位的功能4.灵活性与可扩展性灵活性：组织单位提供了一种灵活的组织方式，可以根据组织的需求进行调整和重新组织。管理员可以创建、删除或移动组织单位，以适应组织的结构和变化。可扩展性：随着组织的不断发展，网络中的对象数量可能会不断增加。组织单位通过其层次结构和分组能力，能够有效地管理这些对象，确保网络的稳定性和可扩展性。组织单位和组账户之间的区别组织单位和组账户之间的区别1.对象类型及容量组账户：组账户中能够包含的对象类型比较有限，通常只能包含用户账户和组账户。这意味着组账户主要用于将多个用户或组集合在一起，以便统一分配权限或管理。组织单位：组织单位则是一个更为广泛的概念，它不仅可以包含用户账户、组账户，还可以包含计算机账户、打印机、共享文件夹等其他活动目录对象。因此，组织单位能够管理的活动目录资源更多，所起的作用也更大。组织单位和组账户之间的区别2.管理策略与控制组账户：创建组账户的主要目的是为用户账户分配资源访问权限。然而，管理员不能直接对组账户指定管理策略，也就是说，不能直接控制组账户中各对象的更复杂行为。组账户主要用于权限的分配和继承，但不涉及具体的管理策略设置。组织单位：相比之下，管理员可以直接对组织单位指定各种管理策略（如组策略），从而对组织单位中各对象的行为进行精确控制。这使得组织单位在网络构建和管理中发挥着更为重要的作用。组织单位和组账户之间的区别3.删除操作的影响组账户：当删除一个组账户时，其所包含的用户账户并不会随之删除。用户账户仍然存在于活动目录中，只是失去了通过该组账户统一分配的权限或管理。组织单位：而当删除一个组织单位时，其所包含的所有活动目录对象都将随之删除。这意味着组织单位的删除操作具有更高的风险性，需要谨慎处理。组织单位和组账户之间的区别4.应用场景组账户：由于其主要用于权限分配和管理，因此更适合于需要集中管理用户权限的场景。例如，在大型企业中，可以将不同部门的用户加入到相应的组中，并为这些组分配不同的资源访问权限。组织单位：组织单位则更适合于网络构建和资源组织。通过创建不同层级的组织单位，可以清晰地划分网络中的资源和对象，便于进行统一管理和维护。组织单位与其他活动目录对象的

区别组织单位与其他活动目录对象的区别在安装活动目录后，打开“ActiveDirectory用户和计算机”窗口，可以看到活动目录中有很多容器，如Builtin、Computers和Users等，如图所示并且每个容器中都有一些活动目录对象。“ActiveDirectory用户和计算机”窗口（1）组织单位与其他活动目录对象的区别上图

中只列出了活动目录中的基本容器对象。在“ActiveDirectory用户和计算机”窗口的菜单栏中选择“查看”→“高级功能”命令，可以查看活动目录中的所有容器对象，如图所示。“ActiveDirectory用户和计算机”窗口（2）组织单位与其他活动目录对象的区别组织单位和其他的活动目录容器不同，其他容器中只能包含活动目录对象，不能对其进行组策略配置。此外，除了在创建活动目录时自动创建的普通容器，管理员不能创建普通容器对象，但可以根据管理需要创建组织单位对象。注意：普通容器和组织单位的图标不同，普通容器的图标像一个文件夹，而组织单位的图标中有一本书。普通容量组织单位组织单位的常规管理任务组织单位的常规管理任务组织单位的管理包括设置组织单位的常规信息、管理者、对象、安全性及组策略等。1）设置组织单位的常规信息当活动目录中的组织单位对象非常多时，尤其在组织单位的嵌套层数比较多时，设置组织单位的属性信息有助于在活动目录中查找对象。组织单位的常规管理任务例如，对于“生产部”组织单位，可以通过设置组织单位的常规信息，帮助用户在活动目录中查找对象。右击“生产部”组织单位，在弹出的快捷菜单中选择“属性”命令，弹出“生产部属性”对话框，默认选择“常规”选项卡，在该选项看中设置“生产部”组织单位的常规信息，如图所示。“生产部属性”对话框中的“常规”选项卡组织单位的常规管理任务2）设置组织单位的安全性仍然以“生产部”组织单位为例进行讲解。在“生产部属性”对话框中选择“安全”选项卡，在“组货用户名”列表框中显示组和用户名称，在“Everyone的权限”列表框中显示相应的权限，如图所示。就像给NTFS分区上的文件或文件夹设置NTFS权限一样，在此可以设置哪些用户账户或组账户对该组织单位有什么权限。“生产部属性”对话框中的安全选项卡组织单位的常规管理任务在组织单位的属性对话框的“安全”选项卡中，可以添加、删除组或用户名，也可以设置当前组织单位的权限。“生产部属性”对话框中的安全选项卡组织单位的常规管理任务组织单位的权限分为标准权限和特殊权限，其中标准权限有以下7种。（1）安全控制：可以对组织单位进行任何操作。（2）读取：可以读取组织单位的相关信息。（3）写入：可以对组织单位的相关信息进行修改。（4）创建所有子对象：可以在组织单位中创建所有子对象。“生产部属性”对话框中的安全选项卡组织单位的常规管理任务组织单位的权限分为标准权限和特殊权限，其中标准权限有以下7种。（5）删除所有子对象：可以在组织单位中删除所有子对象。（6）生成策略的结果集（计划）：对组织单位进行生成组策略结果集操作（正在计划）。（7）生成策略的结果集（记录）：对组织单