在Windows域中,通过OU委派可让非管理员仅管理指定范围对象。需先按业务逻辑规划OU结构,再将对象移入对应OU,接着用“委派控制向导”授予预定义或自定义权限,最后验证权限并注意继承、删除限制等事项。
在windows域环境中,通过组织单位(ou)进行权限委派是实现精细化管理的关键手段。它能让非管理员用户(如部门it支持人员)仅管理指定范围内的对象(如本部门用户账号、计算机),而不会影响其他ou或整个域。
一、创建并规划OU结构
合理设计OU层级是委派的前提。避免直接在Domain节点下操作,应按业务逻辑(如部门、地理位置、功能角色)划分:
- 例如:创建 OU=HR,DC=contoso,DC=com 和 OU=Finance,DC=contoso,DC=com
- 可在每个OU下再建子OU(如 OU=Computers、OU=Users)以进一步隔离管理对象
- 注意:OU本身不提供安全边界,但它是委派策略和组策略应用的基本容器
二、将目标对象移入对应OU
委派权限只对OU内对象生效,因此必须确保需管理的用户、计算机、组等已位于目标OU中:
- 使用 Active Directory 用户和计算机(ADUC),启用“高级功能”后,右键对象 → “移动…” → 选择目标OU
- 批量迁移可用 dsmove 命令或PowerShell(如 Move-ADObject)
- 新建对象时,在ADUC中直接在目标OU右键创建,可省去后续移动步骤
三、配置委派控制(Delegation of Control)
这是核心步骤,通过向特定用户/组授予预定义或自定义权限:
- 在ADUC中右键目标OU → “委派控制…” → 启动向导
- 添加需授权的用户或安全组(如 HR-Admins)
- 选择任务:常用选项包括
• “管理用户账户”(重置密码、修改属性等)
• “管理计算机账户”(加入域、重置密码)
• “完全控制此OU中的所有对象”(谨慎选择)
• 或点击“创建自定义任务”,勾选具体权限(如仅允许重置密码、不允许删除) - 完成向导后,权限立即生效,无需重启服务
四、验证与注意事项
配置后务必测试,并关注常见限制:
- 用被委派账户登录,打开ADUC,确认只能看到并操作目标OU及其子OU中的对象
- 默认情况下,委派权限不继承到嵌套组成员——需将用户直接加入被授权组,或启用“适用于:此对象和所有子对象”选项(在自定义委派中设置)
- 若需禁止删除操作,不要选“完全控制”,而应显式取消勾选“删除所有子对象”和“删除”权限
- 注意:委派不替代组策略应用范围,GPO链接仍需单独配置到对应OU
