管理其它域
如果你得到授权,可以管理其它域里的AD对象,那么你需要在活动目录用户和计算机管理器(Active Directory Users And Computers )里显示被管理的域,这样才能进行管理工作。要把被管理域加入控制台,可以使用下面两种方法:
缺省情况下,你可以看到被管理域的整个目录结构,但是,在快捷菜单里可以使用的菜单选项,只有同委托代理向导授予你的权限相匹配的那些项目。
废除委托的权力
那么,在已经把权力委托给某人之后,又变了主意,该怎么办?委托控制代理不能逆向操作,反着让你取消对象的权力委托。要删除用户或组在对象上的权力,必须直接编辑被委托控制的AD对象的存取控制列表(ACL)。
操作方法是,在活动目录用户和计算机管理器(Active Directory Users And Computers)里,确认开启了高级功能(Advanced Features)。只要打开高级功能,才能在对象的属性页里看到安全(Security)页,在安全页里才能编辑对象的存取控制列表ACL。现在,查看AD对象的属性页,点击安全(Security)标签,选择要撤消对象管理权限的安全负责人,单击删除(Remove),就取消了用户和组的委托控制权。如图 E所示。
图 E: 要撤消用户或组的委托权力,必须在AD对象的存取控制列表ACL里删除用户或组的安全负责人。
你可能想知道,为什么在前面,我们不直接把安全负责人加到存取控制列表ACL里,而是使用委托控制向导?使用委托控制向导,操作起来更简单。许多复杂的许可组合在委托控制向导里选择起来很简单,要是必须用对象的存取控制设置来查找、设置每个属性的许可,做同样的工作就非常困难。
