如何：建立組織單位及委派控制

Overview

發佈日期: 2003 年 12 月 31 日 | 更新日期: 2006 年 4 月 26 日

透過本單元即可：

本單元適用於下列產品及技術：

請結合本單元與同系列之《Windows Server 2003 Security Guide (英文)》的資訊。請以本單元作為建立分散式系統管理環境的起始點。組織單位階層的委派控制可讓公司根據組織模型，來執行一套系統管理模型。

組織單位 (OU) 可作為 Microsoft Active Directory® 中的物件容器。您可以在 OU 層級上利用委派控制精靈，來委派系統管理，也可以將「群組原則」套用至 OU。因此，組織單位中所包含的物件會受系統管理委派或「群組原則」設定的影響。

本單元說明如何建立組織單位及如何使用委派控制精靈，同時也說明如何封鎖權限繼承。封鎖權限繼承可使系統管理員不會傳播已設定的權限到組織單位階層。

下列步驟將引導讀者完成組織單位的建立程序。

若要建立一個組織單位。
1. 依序按一下 [開始]、[系統管理工具] 和 [Active Directory 使用者及電腦]，以開啟 [Active Directory 使用者及電腦]。
2. 將您想要建立新組織單位所在的容器、網域或父組織單位反白。
3. 按一下 [動作] 功能表，然後選取 [新增]、[組織單位]。
4. 在 [名稱] 文字方塊中輸入組織單位的名稱，例如 Member Servers。
5. 按一下 [確定]。

下列步驟將告訴您如何委派系統管理。

若要建立一個系統管理群組
1. 依序按一下 [開始]、[系統管理工具] 和 [Active Directory 使用者及電腦]，以開啟 [Active Directory 使用者及電腦]。
2. 將相關的 OU 反白，例如 Infrastructure，接著按一下 [動作] 功能表，然後選取 [新增]、[群組]。
3. 在 [群組名稱] 文字方塊中輸入群組的名稱，例如 Infrastructure Admins，通常系統會自動填入群組名稱 (Windows 2000 前版)。
4. 確定已選取了 [群組領域] 區段中的 [通用 (Global)] 選項按鈕，及 [群組類型] 區段中的 [安全性]。
5. 按一下 [確定]。

若要將使用者移入至群組
1. 依序按一下 [開始]、[系統管理工具] 和 [Active Directory 使用者及電腦]，以開啟 [Active Directory 使用者及電腦]。
2. 將您想要移入至該群組的使用者反白。
3. 按一下 [動作] 功能表，然後選取 [加入群組]。
4. 在 [請輸入物件名稱來選取] 方塊中輸入群組的名稱，或按一下 [進階] 並搜尋該群組。
5. 選取好正確的群組後，按一下 [確定]。
6. 按一下確認對話方塊中的 [確定]。

若要委派系統管理。
1. 依序按一下 [開始]、[系統管理工具] 和 [Active Directory 使用者及電腦]，以開啟 [Active Directory 使用者及電腦]。
2. 將您想要委派該系統管理所在的容器反白。
3. 按一下 [動作] 功能表，然後選取 [所有工作]、[委派控制]。
4. 按一下 [歡迎使用] 對話方塊中的 [下一步]。
5. 按一下 [新增]。
6. 輸入您想要委派控制的群組名稱，例如 Domain Engineering，或按一下 [進階] 並搜尋該群組。
7. 選取好正確的群組後，按一下 [確定]、[下一步]。
8. 從清單中識別您想要委派的工作，再選取相關的核取方塊，然後按一下 [下一步]、[完成]。
  
  注意： 若要檢視 [Active Directory 使用者及電腦] 中已設定的權限，請按一下 [檢視] 功能表，然後選取 [進階功能]。將 Active Directory 容器反白，按一下 [動作] 功能表，選取 [內容]，再按一下 [安全性] 索引標籤。

下列步驟將告訴您如何封鎖權限繼承。

若要封鎖權限繼承
1. 依序按一下 [開始]、[系統管理工具] 和 [Active Directory 使用者及電腦]，以開啟 [Active Directory 使用者及電腦]。
2. 按一下 [檢視] 功能表，然後選取 [進階功能]。
3. 將相關的組織單位反白，按一下 [動作] 功能表，然後選取 [內容]。
4. 選取 [安全性] 索引標籤，然後按一下 [進階] 按鈕。
5. 取消選取 [允許從父項繼承權限套用到這個物件和所有的子物件] 核取方塊。包括明確定義於此的項目。
6. 按一下 [確定]，再按一次 [確定]。

其他資源