在Active Directory中,可以通过OU(组织单位)高级安全设置来实现较为复杂的功能。例如准备为用户ithanjiang在“排版制作部”OU中增加创建和删除用户的权限,这时可以通过高级权限委派来实现。具体操作步骤如下所述:
步骤/方法
1
第1步,打开“Active Directory用户和计算机”窗口,依次单击“查看”→“高级功能”菜单命令,切换到高级功能窗口。在左窗格中右键单击“排版制作部”OU,在弹出的快捷菜单中选择“属性”命令,如图2所示。 图2 单击“属性”命令
2
第2步,在打开的“排版制作部 属性”对话框中切换到“安全”选项卡,并单击“高级”按钮,如图2所示。图2 “排版制作部 属性”对话框
3
第3步,打开“排版制作部 的高级安全设置”对话框。在该对话框中的“权限”选项卡中,“权限项目”列表中列出了对该OU拥有相应权限的用户和组。单击“添加”按钮,如图2所示。 图2 “排版制作部 的高级安全设置”对话框
4
第4步,在打开的“选择用户、计算机和组”对话框中找到并选中用户ithanjiang,接着自动打开“排版制作部 的权限项目”对话框。在“对象”选项卡中选中“权限”列表中的“允许创建 account 对象”和“允许删除 account 对象”复选框,并单击“确定”按钮,如图2所示。 图2 “排版制作部 的权相项目”对话框
5
第5步,返回“排版制作部 的高级安全设置”对话框,单击“确定”按钮。在返回的“排版制作部 属性”对话框中再次单击“确定”按钮使设置生效。
6
经过这样的设置,用户ithanjiang已经拥有了在“排版制作部”OU中创建和删除用户账户的权限。由此不难看出,通过高级权限委派可以实现非常灵活的权限委派操作。