使用 OU 物件委派管理
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
您可以使用組織單位 (OU) 將 OU 內的物件管理委派給指定的個人或群組,例如使用者或電腦。 若要使用 OU 委派系統管理,請將您要將系統管理權限委派給群組的個人或群組、將一組要控制的物件放入 OU 中,然後將 OU 的管理工作委派給該群組。
Active Directory Domain Services (AD DS) 可讓您控制可在非常詳細層級委派的系統管理工作。 例如,您可以指派一個群組,以完全控制 OU 中的所有物件;將權限指派給另一個群組,以在 OU 中建立、刪除及管理使用者帳戶;然後將第三個群組指派為僅重設使用者帳戶密碼的權限。 您可以讓這些權限可繼承,使其套用至放置在原始 OU 子樹中的任何 OU。
預設 OU 和容器會在 AD DS 安裝期間建立,並由服務管理員控制。 如果服務管理員繼續控制這些容器,會是最好的情形。 如果您需要委派目錄中物件的控制權,請建立其他 OU,並將物件放在這些 OU 中。 將這些 OU 的控制權委派給適當的資料管理員。 這可讓您委派目錄中物件的控制權,而不需變更提供給服務管理員的預設控制項。
樹系擁有者會決定委派給 OU 擁有者的授權層級。 這可以範圍從在 OU 中建立和操作物件的能力,到只允許控制 OU 中單一物件類型的單一屬性。 授與使用者在 OU 中建立物件的能力,會隱含地授與使用者操作使用者所建立之任何物件的任何屬性的能力。 此外,如果建立的物件是容器,使用者就隱含地能夠建立及操作容器中放置的任何物件。