委派 Active Directory 管理概觀

瞭解管理委派

發佈日期: 2004 年 5 月 17 日

Active Directory 在以 Windows 為基礎的網路基礎結構中擔任中央資訊儲存機制的角色,其中存放了身分識別、授權,還有應用程式的專屬資訊、服務發佈與探索資訊,以及目錄服務設定資料。它屬於分散式安全性與身分識別管理的一部份,在以 Windows Server 為基礎的企業體管理性方面扮演著關鍵性的角色。

Active Directory 管理包含各種不同的作業,在大型組織中必須分配給許多系統管理員共同負責處理。管理委派是 Active Directory 所提供的一項重要功能,在整個企業體間提供可擴充的身分識別、安全性、服務和資料管理。組織可以透過管理委派,提升安全性,並且有效率地管理 IT 資源而同時符合管理的需求。經由提升管理效率及非集中式的管理,委派可降低管理成本,同時提升 IT 基礎結構的管理性。

管理委派是將特定管理工作的管理責任,從較高授權移轉到較低授權。從操作性觀點來看,管理委派包含高階系統管理員賦予低階系統管理員授權,以執行特定管理工作。從技術性觀點來看,管理委派包含高階系統管理員將一組管制權限授予低階系統管理員,以便執行特定的管理工作。

本頁內容

管理委派的商務案例
委派的好處
實際運用委派
Active Directory 管理
建立成功的 Active Directory 委派模型

管理委派的商務案例

組織體制的模式日漸走向不同部門、結構單位和業務單位共用一套共通的 IT 基礎結構,以便加強共同作業,同時降低 IT 基礎結構的維護成本。這類組織的 IT 基礎結構經常會跨越多重組織及地理界限。

這種環境可能具有下列條件需求:

  • 組織結構的需求。組織有一部份可能會參與共用的基礎結構,以節省成本,但又需要能夠獨立作業,不受組織其他部分的影響。

  • 操作條件。一個組織或應用程式可能會對目錄服務設定、可用性或安全性,施加唯一的限制。

  • 法律規定。一個組織可能必須遵守法律規定,才能以特定方式運作,例如限制只能存取特定資訊。

  • 管理需求。端視現有及規劃中的 IT 系統管理和支援模型而定,不同的組織可能會有不同的管理需求。

前三項條件需求呈現出必須「自治」和「隔離」的需要。「自治」是一個組織的系統管理員能夠獨立管理的能力:

  • 全部或部份服務管理 (「服務自治」)。

  • 儲存於 Active Directory 中或受其保護的全部或部份資料 (「資料自治」)。

「隔離」是讓系統管理員或組織能夠防止其他系統管理員執行下列動作的能力:

  • 控制或干預服務管理 (「服務隔離」)。

  • 控制或檢視 Active Directory 中的資料子集,或是已加入 Active Directory 目錄之成員電腦上的資料子集 (「資料隔離」)。

嚴格的服務或資料隔離經常需要另外建立樹系或網域。本文並會不根據自治與隔離需求之間的配合來討論網路結構設計考量,只會根據組織對其 IT 資源的管理需求,討論委派管理授權的需要和程序。

如需進一步瞭解自治與隔離需求的配用與抉擇,請參閱 Windows Server 2003 Deployment Kit 的《Designing and Deploying Directory and Security Services》(英文) 中的<Designing the Active Directory Logical Stucture>(英文) (或是參閱 http://go.microsoft.com/fwlink/?LinkId=4723 網站上的<Designing the Active Directory Logical Structure>(英文))。

若要瞭解組織對於委派管理授權的需要,可以根據組織規模的大小分成以下類別:

  • 小型組織,一般大概有 25 到 50 台工作站,以及三到五部伺服器

  • 中型組織,一般大概有 50 到 500 台工作站,以及四到五部伺服器

  • 大型組織,一般大概至少有 500 台工作站,以及 50 部伺服器

小型和中型組織一般都有一個或數個系統管理群組,負責管理 Active Directory 的各方面事宜。小型和中型組織可能不需要建立廣大的委派模型。大型組織則通常有明確的需求,必須將管理授權分配並委派給各種不同的系統管理群組,很可能將某些方面的 Active Directory 管理委派給集中式管理小組,而將其他方面委派給非集中式管理小組。大型組織會發現 Active Directory 的委派功能非常實用,而小型和中型組織也可透過實作委派,達到增強安全性、提高控制能力、更高的責約,並降低成本。

委派的好處

藉由將管理責任有效、注意安全性地分配和委派給各種不同的系統管理群組,各自處理由參與的業務單位所提出的特定需求,管理委派可提供絕佳方式,成功地管理 Active Directory 環境。管理委派提供了下列好處:

  • 容許將管理責任分配給多個系統管理群組,每個群組各自有定義的授權範圍及一組明確定義的責任。

  • 可以分散管理授權。

  • 允許具有安全性意識的管理責任分配。

此外,管理委派還可以讓組織有效率地管理其 IT 基礎結構,並讓組織能夠透過下列作業,厲行安全性預防措施:

  • 以最小權限為準則分配管理責任,這可確保接受委派的個人或一組人只能執行所委派的工作,而無法執行未明確委派或授權的工作。

  • 透過輕鬆、便利地指派管理 Active Directory 內容和目錄服務本身的責任,來提高管理效率。

  • 藉由使分擔管理責任更加容易,進而降低管理成本。例如,提供組織中所有帳戶支援的管理責任只需要短短幾分鐘,就能輕鬆達成。

實際運用委派

實際運用委派的簡要範例可以讓您更透徹瞭解委派的價值和好處,有助組織增強安全性、降低 TCO,而且使得 Active Directory 和 IT 資源更方便追蹤,效率更高。

Contoso Pharmaceuticals 是一家虛構的公司,最近部署了 Active Directory。Contoso Pharmaceuticals 是大型的組織,總部設在伊利諾州芝加哥市,另外在北美洲和歐洲設有五個營運據點。公司的 Active Directory 基礎結構是由一個樹系、三個網域和六個網站組成。這家公司大約有 16,000 名使用者、20,000 台使用者工作站,以及大約 3000 部伺服器散佈在五個實體位置。Contoso 在五個營運據點都實際設有四個業務單位,這些業務單位包括:

  • 研發

  • 製造

  • 業務管理

  • IT

透過 Active Directory 委派,Contoso 能夠就下列各領域進行責任委派:

  • 工作站管理。Contoso 能輕鬆且密切無間地將工作站管理的各個層面都委派給本機系統管理群組,每個實體位置指派一個群組。

  • 帳戶管理。Contoso 將帳戶管理的各個層面都委派給各業務單位的「帳戶管理員」,而不管受管理的使用者之實體位置在何處,同時以集中方式維持服務台作業。

  • 安全性機密作業。Contoso 能夠賦予公司安全部門人員足夠的授權,對公司內部每一個使用者帳戶執行安全性機密作業,例如,允許公司安全部門人員只需按下按鈕,就能停用或鎖定全公司任何使用者帳戶。

  • 資源管理。Contoso 將資源管理的各個層面都委派給適當的資源擁有者,讓資源擁有者能夠管理並掌控其資源。資源包括下列各項:

    • 內部網路上的人力資源入口,裝載在執行 Internet Information Services (IIS) 的三部高效能伺服器之小叢集上。Contoso 能夠將伺服器全權委派給這個應用程式的系統管理員,並賦予他們授權存取其入口的能力。

    • 裝載在一組高效能伺服器上的多個內部應用程式,且伺服器的管理工作是委託給資料中心的一組系統管理員,各個應用程式的管理工作則委託給另外一組系統管理員。使用委派功能,Contoso 得以輕鬆地將管理伺服器的能力委派給負責管理伺服器的系統管理群組,並同時將管理應用程式的能力委派給負責管理各個應用程式的系統管理群組。

  • 自助式使用者帳戶。Contoso 在使用者帳戶上提供自助式服務功能,並且能夠精確地控制使用者可以自行變更的特定資訊。Contoso 可以利用委派功能,允許使用者自行修改電話號碼和個人資料,同時保有對修改機密資料的控制能力,例如使用者物件上的毋需密碼旗標。Contoso 也能夠授予其他共同工作人員,像是人事部門經理,修改使用者的經理和辦公室位置資訊的能力。

  • 具 Active Directory 功能的應用程式。Contoso 能夠將 Microsoft Exchange 信箱管理的各個層面委派給其 Exchange 系統管理員,在完成責任劃分的同時也提高生產力。此外,Contoso 也有內部的企業營運 (LOB) 應用程式,會將資料儲存在 Active Directory 之中。Contoso 系統管理員能夠將 LOB 應用程式資料的控制全權委派給應用程式的系統管理員,包括透過使用帳戶和資源群組,授予控制資料存取的能力。

  • 服務管理。Contoso 能夠根據最低權限的原則,將 Active Directory 服務管理責任分配給特定系統管理群組。這種作法能夠透過明確劃分權責,達到更高的責約,而且能夠降低 Contoso 所需聘僱並維持的高度信任系統管理員人數。

正如 Contoso 範例所示,各組織可以透過 Active Directory 的委派功能,獲得多重好處。這些好處包括根據最低權限的準則分配管理責任,透過輕鬆便利地指派管理目錄內容和目錄服務本身的責任,提高系統管理效率,並透過使分擔管理責任更加容易,來降低管理成本。

Active Directory 管理

委派管理授權的目標是要讓組織配合良好的安全性實務,以有效管理其 Active Directory 環境及儲存在 Active Directory 之中或受其保護的資料。管理委派讓 Active Directory 的管理工作更加容易,同時可讓組織解決特定的系統管理需求。本節將討論 Active Directory 管理的領域,並描述與此相關的共同工作人員。

管理 Active Directory 環境的管理責任可分成兩大類:

  • 服務管理。提供安全而且可靠的目錄服務傳遞所包含的管理工作。

  • 資料管理。管理儲存在目錄服務或受其保護之內容所包含的管理作業。

服務管理

服務管理包括管理目錄服務的各個層面,這是確保目錄服務能夠跨企業不中斷地提供目錄服務傳遞的根本。服務管理包括 (但不限於) 下列管理工作:

  • 新增及移除網域控制站

  • 管理及監控複寫作業

  • 確保作業主要角色適當的指派和設定

  • 定期執行目錄資料庫的備份工作

  • 管理網域和網域控制站安全性原則

  • 設定目錄服務參數,例如設定樹系的功能層級,或將目錄放入特殊的清單物件安全性模式

資料管理

資料管理包含管理儲存在 Active Directory 之中及受其保護的內容。資料管理工作包括 (但不限於) 管理下列 Active Directory 內容:

  • 使用者帳戶,代表使用網路的人員身分

  • 電腦帳戶,代表加入 Active Directory 樹系中各網域的電腦

  • 安全性群組,用來彙總帳戶,以便授權存取資源

  • 具 Active Directory 功能與 Active Directory 整合應用程式的應用程式專屬屬性,例如 Microsoft Exchange 和 Microsoft Real-Time Communication 服務

此外,Active Directory 資料管理也可以使下列管理工作的分配和委派更加容易:

  • 工作站管理,其中包括管理使用者工作站的各個層面

  • 伺服器管理,其中包括管理加入 Active Directory 樹系中任何網域之所有伺服器的各個層面

  • 資源管理,其中包括裝載在加入 Active Directory 樹系中任何網域上的成員伺服器上之服務和應用程式的各個層面,可能也包括所裝載應用程式或資源的伺服器上之伺服器管理

管理共同工作人員

Active Directory 在以 Windows 為基礎的 IT 基礎結構上扮演舉足輕重的角色,是分散式安全性和身分識別管理的繼承部份,幾乎涉及到組織基礎結構裡每一個重要的方面。因此 Active Directory 環境的管理會牽涉多個共同工作人員,其中每一位都有明確的責任,以管理 Active Directory 的資料、服務或安全性等方面,而且每一位都必須能夠執行所指派的管理責任。

例如,負責管理使用者身分識別的系統管理群組需要執行帳戶管理的能力。負責傳遞 Active Directory 運作所需之網路服務 (例如 DNS) 的網路操作員需要能夠管理 DNS 伺服器和資料的能力。公司安全部門人員可能需要能夠稽核登入事件的能力,而「服務台」操作員可能會需要系統管理權限,以執行諸如為使用者重設密碼等等的支援作業。具 Active Directory 功能的整合性應用程式之系統管理員也需要能夠管理儲存在目錄中的應用程式專屬資料的能力。

從管理和操作觀點來看,Active Directory 管理共同工作人員主要包括服務與資料擁有者和系統管理員。但是由於 Active Directory 在以 Windows Server 為基礎的 IT 基礎結構中扮演關鍵性角色,所以常會有其他共同工作人員,包括 IT 基礎結構其他部份的擁有者和系統管理員,他們擁有、管理或負責處理與組織的 Active Directory 環境相關或相依的各方面。

服務和資料擁有者

在大部份包含多重整合性元件和服務的 IT 基礎結構中,傳遞特定元件或服務的責任一般都是委託擁有者處理。這名擁有者負責元件或服務的整體傳遞作業,但並不實際執行工作。擁有者的角色其實是經理級策略性的角色,而與管理 Active Directory 有關的日常管理工作責任是由擁有者指派給一個或多名系統管理員負責。

所有 Active Directory 環境的擁有權都應該委託給兩個擁有者群組:

  • 服務擁有者。負責 Active Directory 基礎結構的規劃與長期維護工作,確保目錄服務持續運作,並確保維持在服務層級合約中所訂定的目標。管理目錄服務的管理責任雖然可以由不同業務單位的系統管理群組共同分擔,但服務擁有權一般來說是不分擔的,而是由集中式服務擁有者負責處理。

  • 資料擁有者。負責維護存放在 Active Directory 中的資料,以及受 Active Directory 保護的內容。這類資料包括使用者和電腦帳戶,以及本機資源,如成員伺服器和工作站。由於 Active Directory 環境可能會橫跨多個業務單位,這些業務單位經常都需要有能力能夠獨立自主地管理本身的資料。資料擁有權由橫跨企業的多個業務單位共同分擔倒也不是罕見的現象。

服務和資料擁有者會建立管理模型,將管理責任分配並委派給系統管理員共同分擔,他們負責執行 Active Directory 作業。服務擁有者會運用服務管理員,以管理目錄服務,而資料擁有者則運用資料管理員,以管理儲存於目錄服務之中或由目錄服務保護的內容。

服務和資料管理員

Active Directory 的作業牽涉到兩種系統管理員:

  • 服務管理員。負責執行所有與設定及管理 Active Directory 環境有關的管理工作。服務管理員是受高度信任的使用者,是由服務擁有者聘用,以管理目錄服務。服務管理員實作由服務擁有者制訂的原則決策,並處理與維護目錄服務和基礎結構有關的日常工作。

  • 資料管理員。負責維護存放在 Active Directory 中的資料,例如使用者和群組帳戶,以及應用程式專屬資料。資料管理員是由資料擁有者聘用,以管理儲存在目錄服務或由目錄服務保護的內容。資料管理員控制目錄之中的物件子集,但無法控制目錄服務的安裝或設定。

其他共同工作人員

Active Directory 可以讓目錄整合性應用程式,在目錄中儲存及修改以網路為中心的資料,而且也啟用網路服務,將目錄中有用的資訊發佈至全球各地。使用者身分識別也儲存在目錄中,其中同時也儲存安全性和通訊群組。共同工作人員可能會有業務需求,而必須修改或存取由資料擁有者控制的資料。

舉例而言,具 Active Directory 功能的應用程式或人事部門人員的系統管理員可能需要控制應用程式或使用者資料。依所管理的應用程式而定,其他使用者也可能是 Active Directory 管理的共同工作人員。通常,儲存或修改在 Active Directory 中資料的應用程式都擁有系統管理員來負責相對應的應用程式專屬資料管理。此外,這些應用程式的使用者也可能必須讀取或修改應用程式專屬資料。

還有其他使用者可能是因為工作相關的理由,而必須執行 Active Directory 中的管理工作。例如,公司安全部門人員可能需要有能力執行某些安全性機密作業 (例如稽核登入事件)。服務台操作員可能需要系統管理權限,以執行支援作業,例如為使用者重設密碼。

因此,除了服務與資料擁有者和系統管理員之外,其他使用者根據業務需要,也必須具有存取儲存於 Active Directory 中或受其保護之資料的控制權限,他們也可能被視為是管理的共同工作人員。

服務與資料擁有者 (和系統管理員) 集體合作,負責確保所有共同工作人員都已授予足夠的最低需求存取權限,而能夠執行與其在組織中業務角色相關的管理工作。

建立成功的 Active Directory 委派模型

管理動態 Active Directory 環境一般來說都會包含許多不同的管理工作,其範圍、衝擊與機密性互異。管理責任必須分配並委派給服務與資料管理員,同時要將一個組織中特殊的管理需求考慮在內。例如,組織可能會有特殊需求,要將所有帳戶與資源管理工作的管理責任委派給非集中式的系統管理群組,而同時要透過將提供帳戶支援的責任委派給位於中央的系統管理群組,保有集中式帳戶支援和作業控制。

Active Directory 服務與資料擁有者負責確保所有共同工作人員的管理需求都能滿足,而且可能需要授予系統管理存取權限或委派能力,以執行這些共同工作人員的特殊系統管理工作,讓共同工作人員能夠根據在組織中擔任的業務角色,完成所指派的責任。

以結構化而有條理的手法來處理 Active Directory 的環境管理,可以大幅提升環境的安全性,降低管理環境所需的相關管理成本,而且成功地滿足所有共同工作人員的管理需求,從而讓 Active Directory 管理更方便進行追蹤記錄、更密切無間、更有效率,也更安全。

以結構化而有條理的手法管理 Active Directory 環境,一般都會包含下列建議的手法,以進行規劃、建立及實作成功的管理委派模型:

  1. 瞭解 Active Directory 管理的各個層面。

  2. 瞭解所有共同工作人員的管理需求。

  3. 建立委派模型,確保提供了涵蓋 Active Directory 管理各個層面的管理工作,而且滿足所有共同工作人員的管理需求。

  4. 以安全而有效率的方式實作委派模型,確保所有委派的系統管理員及所有共同工作人員的管理需求都能滿足,同時也確保已根據最小權限準則授予所有系統管理存取權限。

  5. 維護已實作的委派模型,其中包含因應管理需求的變更而對已實作的委派模型進行修正。

一種特別有效的 Active Directory 環境管理方法是:套用以角色為基礎的系統管理概念,建立、實作並維護安全、可追蹤而有效率的管理委派模型。下列各節將簡介以角色為基礎的系統管理概念,並提供指導原則,引導您套用這種概念,在管理 Active Directory 環境時提升安全性與效率。

以角色為基礎管理 Active Directory 的手法

一種可供建立高效率管理委派模型而特別有效的手法,就是利用管理角色。IT 基礎結構橫跨地理、政治和系統管理的範疇。一種允許 IT 部門,根據業務功能和管理範疇委派管理責任的模型,可以讓組織專注於商務流程而不必費神在技術程序上。依管理角色定義這些職能和範圍可以展開業務導向的管理控制,而同時又有能力安全地擴展管理工作。

管理角色

一個角色是相關管理工作的集合,可以在特定影響或授權範圍之內,指派給特定的一組系統管理員。例如,帳戶支援工作在本質上都相類似,而通常就將特定的使用者帳戶集合指派給特定的一組系統管理員負責。透過定義「服務台」或「帳戶支援操作員」的角色,您可以將該角色與一組管理工作相關聯,通常是由負責該項業務的人員來執行。然後您就可以建立這個角色的不同執行個體,每一個由唯一的安全性群組代表,在組織的各個不同部份提供帳戶支援。例如,考慮一下橫跨四個實體位置的組織,該組織具有非集中式的帳戶管理和支援模型。定義了帳戶支援的角色以後,這個組織只要建立這個角色的四個執行個體,每一個實體位置配置一個,就能輕鬆而密切無間地提供帳戶支援。

角色定義由下列各項組成:

  • 一個或多個管理工作的集合。

  • 執行這組工作所需的一組權限集合。

角色定義的執行個體套用至特定的管理授權範圍。角色執行個體包含下列各項:

  • 一個或多個管理工作的集合。

  • 執行這組工作所需的一組權限集合。

  • 特定的管理授權範圍。

若要在您的委派模型中使用管理角色,您並不需要經過繁複的過程來定義角色。Microsoft 已經為 Active Directory 管理設計各種角色定義,建議您使用這些角色來委派管理責任,以管理 Active Directory。如需有關這些服務和資料管理角色定義及相關聯工作的詳細資訊,請參閱本文件稍後內容中的<第三章:委派服務管理>與<第四章:委派資料管理>。

管理工作

管理動態 Active Directory 環境包含各種不同的工作,各有不同的性質、範圍、衝擊和機密性。如需 Active Directory 服務和資料管理中所包含管理工作的完整清單,請參閱本文隨附的<附錄 A:Active Directory 管理工作>,附在<委派 Active Directory 管理的最佳實作方法:附錄>之中。這份清單分服務與資料管理兩大類整理。這兩大類再進一步根據工作的邏輯相似性細分。如需這兩大類別的概述,請參閱本文稍後的<第三章:委派服務管理>與<第四章:委派資料管理>。每一個類別中的每一種工作都對應到一個管理角色。這樣,所有管理工作都涵蓋在 Microsoft 建議的管理角色組之中。所有類別及其相關工作結合起來提供完整的服務和資料管理,涵蓋整個 Active Directory 環境。因此,整個 Active Directory 服務與資料管理工作的範圍可以根據預先定義的管理角色進行指派。您也可以自訂現有的角色,並配合您組織的需要量身訂製新的角色。

以角色為基礎的手法來進行 Active Directory 管理提供了多重好處。它讓管理更方便追蹤,並提供實作一致性管理涵蓋範圍的能力,處理橫跨組織的相類似管理需求。它也提供可輕易而可靠地將責任委派給一組系統管理員的能力,並可在後續輕易撤銷已委派的責任。這種方法並不需要橫跨大型物件的集合,指定多組權限。

下列各節提供指導原則,讓您利用以角色為基礎的手法,建立、實作並維護特別注意安全性與高效率的 Active Directory 委派模型,用以管理 Active Directory 環境。

瞭解 Active Directory 管理

同時徹底瞭解服務管理和資料管理很重要,這樣才能配合您組織的安全性原則,建立管理委派模型,有效率地分配系統管理責任。

我們極力建議服務擁有者和服務管理員都盡量徹底瞭解服務管理的各個層面,至少也應該詳加瞭解資料管理。

也極力建議資料擁有者完整且透徹地掌握瞭解資料管理的各個層面。同樣也建議資料管理員完全掌握與本身系統管理角色相關,及其執行所指派的管理責任所需的資料管理的各個層面。

如需從端對端的觀點來瞭解資料與服務管理的所有層面,請參閱本文件稍後的<第三章:委派服務管理>與<第四章:委派資料管理>。

瞭解共同工作人員的管理需求

辨識出具有合理業務需要,必須存取及/或修改儲存於 Active Directory 中或受其保護之資料的所有共同工作人員,是很重要的一點。這些共同工作人員一般會包括 IT 基礎結構其他部份的擁有者和系統管理員,他們擁有、管理或負責與組織之 Active Directory 環境相關或相依的 IT 基礎結構各方面。具 Active Directory 功能或 Active Directory 整合性應用程式或公司安全部門人員是這種共同工作人員的兩個範例。

瞭解並記錄這些共同工作人員的存取需求有助於決定所需最低權限組,以授權存取或委派系統管理授權給這些共同工作人員,這樣能夠讓您依最低權限原則,委派管理責任。

建立委派模型

服務與資料擁有者是集體負責建立管理模型,有效率地將責任分配不同的系統管理群組,而仍然限於他們在組織中特定的結構、作業、法律和管理限制範疇之內。清楚地瞭解掌握管理 Active Directory 所包含的完整管理工作和責任之後,應該將與服務和資料管理相關的特殊管理需求考慮在內,以建立委派模型。

一般來說,Active Directory 環境會有一名服務擁有者,而每個參與實體都有一名或多名資料擁有者。由於服務擁有者是最後負責把關,以確保安全且可靠地傳遞目錄服務,他們要負責建立管理委派模型,將所有服務管理責任分配並委派給服務管理員。

同樣地,由於資料擁有者是最後負責管理儲存於 Active Directory 中或受其保護的實體內容,他們要負責建立管理委派模型,分配並委派管理實體的內容所需的全部資料管理責任。

在某些情況下,參與實體可能會選擇將某方面資料管理工作委派給集中式系統管理員群組,或是給一組整體代表所有實體的系統管理員。在這種情況下,所有參與實體的資料擁有者都必須合力建立資料管理的整體性管理委派模型。

建立委派模型的指導原則

建立委派模型的程序主要是包括瞭解需要管理的 Active Directory 各個不同方面,確認所有參與的業務單位和共同工作人員的特殊管理需求,然後將這些需求對應於一組系統管理角色,合力提供管理範圍,涵蓋管理 Active Directory 環境的各個層面。

您的組織可能會選擇,自行定義執行 Active Directory 管理的自訂角色,其中可能有一部份是根據 Microsoft 建議的角色,也可能會選擇純粹根據 Microsoft 建議的角色,來建立委派模型。建立委派模型包含 (根據角色描述中所指供的指導原則) 決定組織將會需要每個角色有多少執行個體,以提供涵蓋 Active Directory 環境各個層面的管理,並將特殊的管理需求包含在內。

良好的委派模型應具備下列特性:

  • 提供涵蓋 Active Directory 管理的各個層面

  • 符合獨特的自治和隔離需求

  • 有效率地分配管理責任

  • 以注意安全性的方式委派管理責任

實作委派模型

要實作由擁有者所建立的委派模型,這個工作是委託給最受信任和技巧最純熟的一小部分系統管理員來執行的。這些系統管理員通常也負責在實作之後繼續維護模式。一般來說,這些系統管理員也會協助擁有者,建立管理委派模型。這些系統管理員還會負責推出委派模型,以使所有角色執行個體進行服務與資料管理,如服務與資料管理委派模型中所定義般。

服務管理委派模型應該由企業系統管理員實作。一旦服務管理委派模型施行之後,按照預設具有最高權限的系統管理帳戶的使用將減至最低,結果將大幅降低以高於其執行工作所需之憑證登入的系統管理員造成意外損害的機率。此外,擁有較少的服務管理員人數,將大量減低目錄服務受意外或惡意損害的機率。

在實施服務管理委派模型以後,服務管理員應該把資料管理工作交給一小部分受高度信任的資料管理員。組織中各個參與實體的資料擁有者會指派一些其最信任的資料管理員,以代表資料擁有者。這些資料管理員就應該負責實作資料管理委派模型,它包含根據管理角色,將資料管理的管理責任委派給權限較小的資料管理員。

這一小部分的資料管理員是委派模型實作的一部份,他們也要將帳戶系統管理需求和群組原則應用程式需求都考慮在內,負責設計 OU 結構,以便讓他們自己能委派管理責任。這些資料管理員會設計並向資料擁有者提出 OU 結構建議。獲得核准之後,資料管理員會實作 OU 結構,並依需求實作各種不同的資料管理角色執行個體。這些受高度信任資料管理員除了實作資料管理委派模型以外,也負責維護已實作的委派模型。

依您組織的系統管理員需要,委派的系統管理員可能獲予授權,將屬於他們的管理授權範圍內的特定方面再委派出去。

實作委派模型時,需要瞭解管理委派在 Active Directory 中實際的運作方式。如需有關 Active Directory 管理委派的詳細資訊,請參閱本文件稍後的<第二章:委派在 Active Directory 中的運作方式>。

實作完善的委派模型可確保:

  • 只有受委派的系統管理員能夠執行指派的工作。

  • 受委派的系統管理員只能執行經過指派而且明確委派給他們的工作。

實作委派模型的指導原則

下列建議可以引導您建立完善的實作:

  • 以唯一的安全性群組代表每一個管理角色的每一個執行個體。

  • 使用安全性群組,代表主要目的為委派角色的角色。切勿將這些安全性群組用作其他用途。例如,不要使用安全性群組,將存取權限授予網域中其他與能夠執行管理角色不相關的資源。

  • 委派資料管理時,要盡可能只在 OU 上委派權限, OU 是特別為協助管理委派作業而提供的。在 OU 上委派權限可方便且可靠地加以撤銷。

  • 除非絕對必要,否則不要在 OU 之內的個別物件上指定權限。

  • 若要委派角色,要讓所授予權限僅足以執行指派給該角色的一組管理工作。

如需有關如何實作服務和資料管理之委派模型的詳細資訊,請參閱本文件稍後的<第三章:委派服務管理>與<第四章:委派資料管理>。

維護委派模型

實作了服務與資料管理委派模型以後,所有受委派的系統管理員和共同工作人員都應該能夠執行所有已指派的管理工作。

規劃完善而實作良好的委派模型可以減少很多維護需要。但是時間一長,管理需求的改變以及工作能力的改變都可能會需要適度變更系統管理委派模型。委派模型的維護包含將這些發展考慮在內,隨之進行適當變更。

對每一個管理類別來說,服務與資料管理員都可能需要:

  • 修改及/或重新委派現有角色。例如,您可能需要在角色定義或特定角色執行個體中加入新工作。

  • 建立及委派自訂角色。您可能需要建立及委派新角色,以與未包含在原始委派模型之中的現有角色互補或加以補充。

  • 移除現有角色的委派。例如,您可能需要移除管理角色的使用者,這只要從系統管理群組移除該使用者即可。或者,您也可能需要撤銷某角色或整個角色的特定職能,此時則需要移除委派給該功能 (工作) 或整個角色的所有權限。

    注意 注意
    您可以使用指令碼或命令列工具 Dsrevoke.exe,移除指定範圍中所有 OU 物件的 DACL 中之群組或使用者的所有權限。有關使用 Dsrevoke.exe 的詳細資訊,請參閱本文隨附的<附錄 G:Active Directory 委派工具>,附在<委派 Active Directory 系統管理的最佳實作方法:附錄>之中。

有關維護服務和資料委派模式的詳細資訊,請參閱本文件稍後的<第三章:委派服務管理>與<第四章:委派資料管理>。

下载

AD_Delegation.doc
2471 KB
Microsoft Word 文件

顯示: