本次跟大家介绍如何通过AD组织单位(下文中简称OU)委派，从而让公司的每个部门都可以自行管理自己部门中的用户账户。

首先介绍下应用案例，被国际偷菜组织授予09年度最有价值偷菜专家称号的某电力公司业务主管A某。在做年终总结时，除了总结了全年的业务数据之外，还总结了在09年使用高度集中管理的信息化方案后对业务管理带来的利弊(在请IT部门主管S某一顿牛魔王烤鸡翅之后)。同时重点提出了一些需要改进的问题:主要就是IT权限过于集中，各个部门不能自主管理员工账户(尤其是业务部经常需要根据市场的变动及时的做人员功能及结构的调整)。最后提出了对于2010年IT环境的希望:希望每个部门可以自行管理自己部门中的用户账户。

针对A某的需求，IT主管S某迅速定制了实现其需求的评估方案，并组织部门内的技术骨干--老T和技术尖兵--小P在3天内搭建起了评估环境。

评估环境简介:

域控制器:1台

系统版本:windows server 2008 企业版

ip:192.168.99.1/24

DNS:127.0.0.1

员工用机:1台

系统版本:windows7旗舰版

IP:192.168.99.2/24

DNS:192.168.99.1

操作步骤:

1 创建OU和用户账户；

使用管理员账户登录DC，打开”Active Dircetory 用户和计算机”在域下创建一个名为”_DEMO” 的OU ，并在此OU中创建名为”manager”的用户；

2 为部门经理账户委派管理用户账户的权限；

右击 ”_DEMO” OU 选择 “委派控制” 打开委派控制向导，下一步后添加要被委派权限的用户账户”manager”

下一步，再勾选需要委派给”manager”用户的具体权限

然后下一步，确认配置后完成，这样就为”manager”用户委派了管理创建和删除”_DEMO” OU中用户账户的权限。

3 为部门经理的PC安装管理工具。

首先，去微软官网下载管理工具包:

然后以域管理员身份登录为用户安装(后续文章中为大家介绍使用组策略分发的方式)

4 分析委派的权限

a 显示高级功能

打开 ”Active Dircetory 用户和计算机” 中的高级功能(勾选下图所示部分)

 

b 查看被委派的权限:

右击”_DEMO”选择属性 中的安全选项卡，可以看到manager有特殊权限。

可以通过下图可以看出部门经理具有创建删除用户的权限

可以通过下图可以看出部门经理具有对此OU中所有用户对象的完全控制的权限

总结:通过今天的学习大家可以认识到通过OU委派可以为企业定制更加灵活的管理方案，同时也为企业及时调整人员职能提供了充分的IT支持。