AD 管理权限
在Windows 2000里,域是AD的安全边界。缺省情况下,只有企业管理员组(Enterprise Admins) 和域管理员组(Domain Admins)的成员才有权管理AD对象。 域管理员组(Domain Admins)的成员仅限于管理他们所在域的AD对象。而企业管理员组(Enterprise Admins)的成员则能够管理森林里任何域中的AD对象。如 图 A所示,你可以看到:企业管理员组(Enterprise Admins) 是一个全局安全(Global Security)组,自动被建立,并放置在森林的根域里。
图 A: 企业管理员(Enterprise Admins)组是一个全局安全(Global Security)组,自动被建立,并放置在森林的根域里。
在一些情况下,你可能想给森林里某个域中的用户或组授权,让他们管理其它域的AD对象。例如,你可能想授权父域的域管理员组(Domain Admins), 管理它的子域里的AD对象。
你的第一本能反应可能是,把必要的用户或组加到企业管理员组(Enterprise Admins)或域管理员组(Domain Admins)里。但是,把他们加到企业管理员组(Enterprise Admins)就放大了他们的权力,他们拥有了管理森林里任何域里AD对象的权力;而把他们加到域管理员组(Domain Admins)则在你自己的域里的授予他们危险的权力。应当把他们扩大的管理特权限制在单一域的AD对象上,解决办法是把这个域的权力委托给用户或组。
