管理ActiveDirectory.PDFVIP

管理Active Directory 本章涵蓋的微軟考試目標如下： 建立與維護Active Directory 物件 Active Directory 帳戶的自動化建立 。包括： 大量匯入；Active Directory遷移工具(ADMT) v3 、設定UPN ；建立電腦、使用者和群組帳 戶(指令碼、匯入、遷移) ；範本帳戶；連絡 人；通訊群組清單 維護Active Directory 帳戶 。包括：設定成員 資格；重設帳戶；委派；AG DLP/AGGUDLP 策略；拒絕網域本機群組；本機vs.網域；受保 護的管理員；停用帳戶vs.刪除帳戶；撤回； 連絡人；建立組織單位(OU) ；委派控制 設定並套用群組原則物件 。包括：強制、OU 階層、禁止繼承、啟用使用者物件；群組原 則處理優先順序；WMI ；群組原則篩選；群 組原則回送(請參閱第八章) 296 MCTS ：Windows Server 2008 Active Directory Configuration 專業認證手冊 在前幾章你學到如何安裝網域名稱系統(DNS)和 Active Directory ，設定伺服器 角色、使用站台，但尚未認識Active Directory 中較低層級的物件。 本章將檢視網域中不同元件的結構。由於組織單位(OU)容易使用並能以直覺化 的方式建立，你將可見到如何透過使用 OU 而在 Active Directory 中對映出組 織的企業結構。不過因為 OU 的有關概念相當簡單，一些系統管理者可能低估 其重要性而未妥善地計劃使用。千萬別犯這種錯，適當地設計與部署 OU 可是 Active Directory 安裝成功的重要一部分。 你還會看到實際建立一般 Active Directory 物件時所需的步驟，並學會如何設 定與管理這些物件。最後，你將明白發佈資源與自動建立使用者帳戶的方法。 OU 概觀 組織單位(organizational unit ，OU)如其名所示，可視為邏輯的Active Directory 物件之群組。OU 係作為容器，其中可以建立其他Active Directory 物件，但並 不會形成DNS 命名空間的一部分。OU 只是用來建立網域內的組織。 OU 可包含下列類型的Active Directory 物件： 使用者 群組 電腦 共用資料夾物件 連絡人 印表機 InetOrgPerson 物件 MSMQ 路由別名物件 其他組織單位 Chapter 7 管理Active Directory 297 也許，OU 最實用的功能就是可包含其他 OU 物件。也因此系統管理者可以依 據企業實務，運用階層方式將資源及其他物件組成群組。OU 結構極為彈性， 如本章稍後所見，OU 可輕易地重新排列以反映企業的整頓。 OU 的另一個好處是每個 OU 可以有自己的一組原則。管理者可以為每個 OU 建立個別且獨特的群組原則物件(Group Policy object ，GPO) 。GPO 是個可套用 至 OU 中所有物件的規則或原則。(GPO 將在第八章「群組原則物件」中詳細 討論。) 每種類型的物件在 Active Directory 網域組織中都有它的作用。本章稍後將介 紹使用者、電腦、群組與共用資料夾等物件的詳細內容。現在先將焦點著重在 使用OU 的目的與好處。 使用OU 的目的 OU 主要是用來組織、管理Active Directory 內的物件。不過在探究OU 的細節 之前，必須先瞭解 OU 、使用者以及群組如何相互影響。最重要的是瞭解OU 僅是容器，是用來將不同物件邏輯的組成群組。OU 並非傳統上所指的群組， 因此無法用來指派安全性權限。也就是說 OU 內所含的使用者帳戶、電腦帳戶 與群組帳戶被認為是安全性主體，但OU 本身並不是。 OU 不會取代標準的使用者與群組權限(將在第九章討論) 。一般實務上最佳的 做法是將使用者加入至群組，然後將群組置於 OU 中。此舉在設