委派管理 Active Directory.docx

委派管理 Active Directory.docx

《委派管理 Active Directory.docx》由会员分享，可在线阅读，更多相关《委派管理 Active Directory.docx（25页珍藏版）》请在冰豆网上搜索。

委派管理ActiveDirectory

ActiveDirectory管理委派最佳實務

委派如何在ActiveDirectory中作用

委派如何在ActiveDirectory中作用

發佈日期:

2004年5月17日

本章將深入探討委派在ActiveDirectory中如何作用。

瞭解委派如何作用，可幫助您建立、實作及維護有效率與安全的委派模型，並有助於在對任何關係人委派管理授權，或是授權存取時，滿足關係人的需要。

最後，對委派的作用方式有更深入的瞭解，還有助您考量到技術功能及管理授權委派所牽涉的問題，在掌握更多資訊的情況下作出設計決策。

本頁內容

概觀

ActiveDirectory管理作業

ActiveDirectory邏輯結構及資料存放

委派與存取控制

概觀

透過管理委派，管理工作的責任轉移到必須執行各自工作的系統管理員，而非其他人員。

從技術的觀點來看，管理委派牽涉到較高階的系統管理員，將一組控制權限授與較低階的系統管理員，賦予較低階系統管理員執行特定管理工作的能力。

換句話說，就是較高階的系統管理員「授權」受委派的較低階系統管理員執行特定的管理工作。

每項管理工作都會造成部分資料狀態的變更，而資料狀態的變更，則牽涉到對儲存資料的物件執行低階作業。

如前文所言，ActiveDirectory有兩種主要的管理工作類別–資料管理工作及服務管理工作：

∙資料管理工作一般包括建立與管理使用者和電腦帳戶、安全性群組及應用程式特定資料的工作，這些資料全都儲存在ActiveDirectory中。

在某些情況下，有少部分的工作子集可能牽涉到修改「群組原則」的設定值，以影響成員電腦的設定狀態。

使用者帳戶的建立與群組成員資格的修改，兩者都是資料管理工作的範例。

∙服務管理工作包括與建立及維護ActiveDirectory設定資料相關的工作。

例如，在子網域中新增網域控制站，為站台建立新的關聯子網路，以及延伸ActiveDirectory架構；這些ActiveDirectory服務管理的管理工作，全都會造成設定資料的變更。

多數的ActiveDirectory設定資料都直接儲存在ActiveDirectory中。

然而，某些ActiveDirectory行為卻可以或必須在網域控制站上設定。

與這些工作相關的設定資料，可能儲存在網域控制站的登錄或檔案系統中。

因此，資料與服務管理工作主要牽涉到資料的變更；這些資料可能儲存在ActiveDirectory，有時則儲存在網域控制站及其他加入ActiveDirectory之電腦的檔案系統或登錄中。

每項系統管理工作都會造成部分資料狀態的變更，而資料狀態的變更，則牽涉到對部分的資料執行低階作業；這些資料中，有些以目錄中的物件代表，有些則以電腦或網域控制站的檔案系統或登錄中的物件代表。

例如，重新設定使用者密碼的管理工作，就牽涉到對使用者物件的屬性進行低階寫入作業。

同樣地，建立新的站台牽涉到建立對應的站台物件。

而修改安全性事件記錄的詳細等級，則牽涉到修改網域控制站上的登錄機碼（資料）。

這些組成管理工作的低階作業，通常牽涉到資料的建立、刪除、存取、修改及驗證。

所有儲存在ActiveDirectory中的資料都由目錄物件代表，每個物件都可以個別設定保護。

同樣地，儲存在電腦檔案系統及電腦登錄中的所有資料，也都由可以個別設定保護的物件代表。

「可以個別設定保護」是指對資料（由物件代表）執行的所有低階作業，都可以個別授權。

換句話說，系統管理員可以針對每個資料單位指定執行者及執行作業。

既然每項ActiveDirectory管理工作都將藉低階作業影響部分資料的狀態，而且所有資料都可以個別設定保護（允許或拒絕某些人員對這些資料執行低階作業），表示控制適當的權限（授權執行目標資料的對應低階作業），就應該可以控制執行每項管理工作的能力。

因此，系統管理員能夠藉由個別授權資料的每項低階作業，進而授權牽涉到低階作業的所有管理工作。

由於所有的管理工作至少都牽涉到一項低階作業，因此，所有的管理工作應該都可以個別授權。

由於委派牽涉較高階的系統管理員，授權受委派的較低階系統管理員執行特定管理工作，那麼藉由控制管理工作所牽涉之低階作業的必要執行權限，即可委派ActiveDirectory中的每項管理工作。

總而言之：

∙委派牽涉到將一組控制權限授與某人，以便其執行管理工作。

∙每項管理工作都牽涉到對資料執行一些低階作業，

∙這些低階作業都可以（個別）授權。

∙而由於可以授權對應的低階工作，您因此可以進行工作委派。

下列範例說明委派如何在ActiveDirectory中作用的重點。

我們將以ContosoPharmaceuticals的行銷人員DavidHamilton的一天為例說明。

DavidHamilton最近才加入公司。

在他加入公司時，公司業務部門的帳戶管理員，已經為他在業務部門OU（組織單位）底下，建立了一個使用者帳戶。

使用者帳戶的建立，牽涉到在父物件底下建立類別為User的物件，在此情況下，也就是業務部門的OU物件。

由於帳戶管理員擁有這個OU的「建立子物件」權限，他們因此可以建立帳戶。

帳戶一旦建立，David就能登入ActiveDirectory網域，並且著手執行獲得指派的責任。

有一天，David遺忘了他的密碼，因此無法登入。

他於是尋求技術支援人員的協助。

JeffPrice是技術支援操作者群組的成員，他在收到呼叫並驗證David的識別身份後，重新設定了David的密碼。

重新設定密碼的作業，牽涉到修改David的使用者帳戶物件的密碼相關屬性，並需要將David的使用者帳戶物件的「重新設定密碼」延伸權利，授與能夠重新設定David密碼的人員。

在實作委派模型時，技術支援操作者群組（Jeff是成員）便獲得網域中所有使用者的這項延伸權利。

因此，Jeff也獲得授權，可以重新設定David的密碼。

David在受雇不到6個月時，晉升為資深行銷人員，直屬經理也換了一個人。

Contoso人力資源部門的員工MichelleAlexander，因此需要更新儲存在ActiveDirectory中，David使用者帳戶上的David直屬經理資訊。

修改使用者的經理資訊，需要牽涉到修改使用者帳戶物件Manager屬性的低階作業，而且需要擁有Manager屬性的寫入屬性權限才能成功。

帳戶管理員已經將寫入屬性權限授與人力資源人員群組（Michelle是成員），允許群組成員修改所有使用者物件的Manager屬性。

因此，Michelle可以變更David的經理資訊來更新David的帳戶。

在公司任職一年以後，David再度升職，在公司的研發（RandD）部門擔任新的工作。

現在，他的使用者帳戶需要移動到RandD部門的OU。

移動物件牽涉到多種低階作業，包括將物件從其目前的父物件下刪除，在新的父物件下建立新的物件，以及修改物件上的「一般名稱」與相關之可辨別名稱的屬性（請注意，從技術面解釋，物件並沒有遭到刪除，只是看起來在遭到刪除後又重新建立）。

Contoso整體帳戶管理團隊的成員（擁有Contoso帳戶管理員群組的成員資格）MichaelAllen接獲指示，需要在兩個OU之間移動物件。

Contoso的帳戶管理員群組同時獲得來源與目標OU的充分權限，群組成員能夠移動物件。

Michael因此擁有必要的「刪除子物件」權限，可以對業務OU執行低階的刪除作業，並擁有對RandDOU執行低階建立作業的「建立子物件」權限；此外，還對使用者物件擁有「寫入所有屬性」權限，因此能對David的使用者帳戶執行移動作業。

回到頁首

ActiveDirectory管理作業

如前所言，ActiveDirectory管理可以分為服務與資料管理。

資料管理包括建立與管理使用者和電腦帳戶、安全性群組及應用程式特定資訊的工作，這些資料全都儲存在ActiveDirectory中。

在某些情況下，有少部分的工作子集可能牽涉到修改「群組原則」的設定值，以影響成員電腦的設定狀態。

使用者帳戶的建立與群組成員資格的修改，兩者都是資料管理工作的範例。

資料管理工作包括但不限於管理下列ActiveDirectory內容：

∙使用者帳戶：

代表使用網路人員的識別身份

∙電腦帳戶：

代表加入ActiveDirectory樹系中網域的電腦

∙安全性群組：

用來彙總授權資源存取之帳戶的群組

∙ActiveDirectory啟用及整合應用程式的應用程式特定屬性，例如MicrosoftExchange及MicrosoftOfficeLiveCommunicationsServer2003

服務管理工作，也就是與ActiveDirectory設定資料的建立與維護相關的工作。

例如，在子網域中新增網域控制站，為站台建立新的關聯子網路，以及延伸ActiveDirectory架構；這些ActiveDirectory服務管理的管理工作，全都會造成設定資料的變更。

多數的ActiveDirectory設定資料都直接儲存在ActiveDirectory中。

然而，某些ActiveDirectory行為卻可以或必須在網域控制站上設定。

與這些工作相關的設定資料，可能儲存在網域控制站的登錄或檔案系統中。

服務管理包括但不限於下列管理工作：

∙新增和移除網域控制站

∙管理和監視複寫

∙確定作業主要角色的適當指派與設定

∙執行目錄資料庫的定期備份

∙設定全樹系的輕量型目錄存取協定（LDAP）設定值

∙管理網域和網域控制站安全性原則

∙設定目錄服務參數，例如設定樹系的功能性層級，或是將目錄置於特殊的清單物件安全性模式

如需ActiveDirectory服務及資料牽涉之管理工作的完整清單，請參閱本文件隨附的＜ActiveDirectory管理委派最佳實務：

附錄＞中的＜附錄A：

ActiveDirectory管理工作＞。

如需管理工作類別的概觀，請參閱本文件稍後的＜第3章：

服務管理委派＞及＜第4章：

資料管理委派＞。

回到頁首

ActiveDirectory邏輯結構及資料存放

要有效委派ActiveDirectory管理工作，您需要瞭解ActiveDirectory資料的本質及資料存放的位置。

由於管理委派牽涉到授權對資料執行低階作業的能力，因此，瞭解儲存這些作業的資料位置，對於授權對這筆資料執行低階作業的能力是極為重要的。

本節將說明ActiveDirectory的主要邏輯元件，亦含頂層網域和設定容器的說明與位置。

樹系與網域

ActiveDirectory樹系是一種ActiveDirectory。

樹系是指具有共用設定與架構的網域集合，由單一的邏輯通用類別目錄代表，並且由跨樹狀目錄的可轉移信任連接。

從資料的觀點來看，ActiveDirectory儲存整個樹系的資料。

「目錄」與「樹系」可以視為同義詞。

儘管只有單一目錄，資料存放卻分散到許多網域之中。

裝載ActiveDirectory目錄服務的伺服器又稱為「網域控制站」。

目錄磁碟分割

在ActiveDirectory中，資料存放都分割到稱為「目錄磁碟分割」的邏輯區段，而且每個目錄磁碟分割都將其變更分別複寫到存放相同目錄磁碟分割複本的樹系中的網路控制站。

一個特定的目錄磁碟分割儲存全樹系的設定資訊，這些設定資訊對樹系的正常運作極為重要。

另一個特定的目錄磁碟分割儲存ActiveDirectory架構。

其他目錄磁碟分割所儲存的資訊，則包括個別網域的特定使用者、群組及OU。

儲存網域資訊的目錄磁碟分割，只會複寫到該網域中的網域控制站。

儲存設定及架構資訊的目錄磁碟分割，則會複寫到所有網域中的網域控制站。

如此一來，ActiveDirectory即可提供在邏輯上集中化，在實體上卻分散的資料機制。

 注意

目錄磁碟分割與資料庫磁碟分割是不同的。

ActiveDirectory資料庫沒有遭到分割。

只有目錄樹狀結構，也就是儲存在網域控制站上資料的邏輯代表，才有遭到分割。

由於所有網域控制站都有儲存全樹系的設定及架構資訊，如果在本機沒有儲存使用者要求的資訊，網域中的網域控制站可以參照任何其他網域中的網域控制站。

此外，作為通用類別目錄伺服器的網域控制站，儲存著網域目錄磁碟分割的完整複本，以及樹系中其他每個網域的部分複本。

因此，作為通用類別目錄伺服器的網域控制站，就可以用來查詢並找出樹系中的任何物件。

設定目錄磁碟分割

每個樹系只有一個設定目錄磁碟分割，其中儲存著全樹系的設定資料；如果ActiveDirectory要正常提供目錄服務，一定要有這些資料。

例如，確定正常複寫的所有必要資訊，都儲存在設定磁碟分割中；此外，磁碟分割中也儲存著有關站台拓撲的資訊。

ActiveDirectory用來架構目錄樹狀結構階層的資訊，也儲存在設定目錄磁碟分割之中；應用程式用來連結到樹系中服務例項的全網路、服務特定資訊亦同。

每部網域控制站都有一份設定目錄磁碟分割的完整可寫入複本。

架構目錄磁碟分割

同樣地，每個樹系也只有一個架構目錄磁碟分割。

架構目錄磁碟分割中有可在ActiveDirectory中初始化的所有物件的定義，其中也儲存著可以作為ActiveDirectory中之物件部分的所有屬性的定義。

儘管架構更新只能在作為架構作業主機的網域控制站進行，每部網域控制站都有一份架構目錄磁碟分割的完整可寫入複本。

架構目錄磁碟分割的根物件中，包含可在ActiveDirectory樹系中初始化的每種物件類別的子物件，並包含可作為ActiveDirectory樹系中之物件部分的每個屬性的物件。

網域目錄磁碟分割

每個網域都由一個網域目錄磁碟分割代表。

網域目錄磁碟分割儲存該網域的使用者、電腦、群組及其他物件。

所有加入網域的網域控制站，都共用一份網域目錄磁碟分割的完整可寫入複本。

此外，樹系中所有裝載通用類別目錄的網域控制站，也裝載了樹系中其他網域目錄磁碟分割的部分唯讀複本。

在多數情況下，網域目錄磁碟分割都儲存著網域內容–也就是使用者、群組及電腦資訊。

然而，一些網域特定設定資訊也儲存在網域目錄磁碟分割的System容器中。

ActiveDirectory階層

每個ActiveDirectory物件，都可以藉由唯一與不模糊的名稱，又稱「辨別名稱」（DN）來予以參照。

辨別名稱識別出可透過容器階層到達物件的完整路徑。

每個樹系都有一個設定目錄磁碟分割、一個架構目錄磁碟分割，以及至少一個代表樹系根網域的網域目錄磁碟分割。

樹系中每額外加入一個網域，該樹系就會增加一個網域目錄磁碟分割。

ActiveDirectory三個預設磁碟分割的辨識名稱如下：

∙樹系根網域目錄磁碟分割：

DC=ForestRootDomain

∙設定目錄磁碟分割：

CN=configuration,DC=ForestRootDomain

∙架構目錄磁碟分割：

CN=schema,CN=configuration,DC=ForestRootDomain

如需所有ActiveDirectory磁碟分割的預設容器階層的詳細資訊，請參閱本文件隨附的＜ActiveDirectory管理委派最佳實務：

附錄＞中的＜附錄I：

ActiveDirectory磁碟分割的預設容器階層＞。

管理觀點的資料存放

從管理的觀點來看，識別設定資料在ActiveDirectory的儲存位置，以及網域內容的儲存位置，皆頗有助益。

這項資訊對委派管理極為重要，因為它有助於識別委派服務與資料管理工作所需指定的權限位置。

ActiveDirectory服務設定資料的位置

ActiveDirectory主要在設定目錄磁碟分割中儲存服務設定資料。

從服務管理的觀點來看，架構管理也是服務管理的一部分。

因此，儲存在架構目錄磁碟分割中的架構，也是設定資料的一部分。

此外，某些網域特定設定值也儲存在網域目錄磁碟分割的System容器中，因此，這種資料也是設定資料的一部分。

最後，由於某些網域控制站的特定設定資料儲存在網域控制站的登錄及檔案系統中，這種資料也是服務設定資料的一部分。

從管理的觀點來看，在下列位置可以找到設定資料：

∙設定目錄磁碟分割

∙架構目錄磁碟分割

∙網域目錄磁碟分割中的System容器

∙網域控制站上的檔案系統及登錄

ActiveDirectory內容的位置

ActiveDirectory內容儲存在網域目錄磁碟分割中。

目錄磁碟分割中的內容，一般都儲存在以下其中一個容器：

一般物件類別容器的物件，以及特殊目的物件類別的物件（如架構中的定義，稱為organizationalUnit）。

一般類別容器的物件都是普通的容器，也會在「設定」磁碟分割之中使用。

OrganizationalUnit類別的物件，其用途在於作為網域內容（例如使用者、電腦及群組帳戶）的主要容器。

OU與一般容器的不同之處在於，OU可以套用「群組原則」。

「群組原則」的發佈機制確保套用到OU的「群組原則」物件，可以直接套用到該OU中的所有使用者與電腦，並可藉由繼承，套用到以OU為根目錄的ActiveDirectory樹狀子目錄中之OU中（以及一般ActiveDirectory容器中）的所有使用者及電腦。

除了OU以外，某些預設ActiveDirectory容器也包含網域內容。

這些容器是在進行安裝時建立的，並且包含預設的系統管理群組、使用者及其他必要資料。

Builtin容器儲存內建的群組。

Users容器是新使用者帳戶（透過不能識別ActiveDirectory的舊版API建立）的預設儲存區域。

Computers容器是新電腦物件（原來是透過不能識別ActiveDirectory的舊版API建立）的預設儲存區域。

從管理的觀點來看，ActiveDirectory內容存在於下列位置：

∙網域目錄磁碟分割中的OU

∙目錄網域磁碟分割中的Builtin容器

∙目錄網域磁碟分割中的Users容器

∙目錄網域磁碟分割中的Computers容器

回到頁首

委派與存取控制

藉由存取控制，系統管理員可以控制或委派其他使用者在ActiveDirectory中操作物件的能力，並且能夠對網域控制站及檔案伺服器執行動作。

瞭解ActiveDirectory中的存取控制模型，對執行委派管理極為重要。

本節概要說明ActiveDirectory中的存取控制模型，並說明委派管理授權所需之存取控制項的所有相關問題。

存取控制項牽涉到三個元件：

∙試圖存取資源的使用者的安全性認證

∙保護資源防止存取的授權資料

∙評估是否要授權要求存取的存取檢查

當使用者（或是代表使用者的執行中處理程序）試圖對可以設定保護的物件執行低階作業時，試圖進行的作業就必須接受存取檢查。

存取檢查考慮使用者安全性認證，以及物件上要求執行低階作業的授權資料，以決定個別物件的相關使用者能力。

如果存取檢查決定要求作業的使用者的安全性認證，以及目標物件的授權資料，提供執行作業的充分權限時，作業便會成功。

如果使用者沒有執行受要求作業的充分權限，要求便會失敗。

委派ActiveDirectory管理責任的動作，牽涉到識別對應管理工作的低階作業，以及執行低階作業的特定資料，接下來，則需適當地修改保護資料的授權設定值。

存取控制模型的特性

如同WindowsNT4.0，Windows2000與WindowsServer2003中的存取控制模型具有下列特性：

使用者授權

提供系統識別使用者的能力，以及比對該使用者及資源存取條件的能力。

任何可以由程式或處理程序操作的資源，都由可設定保護的物件代表。

當使用者（或是代表使用者的執行中處理程序）試圖對可設定保護的物件執行作業時，試圖進行的作業就會遭受存取檢查；只在執行作業的使用者獲得對該物件執行這項作業的授權時，這項作業才會成功。

可設定保護物件的判定存取

提供指定物件存取使用者及存取條件的能力。

每個可設定保護的物件都有一名擁有者。

擁有者是唯一擁有繼承權利，可以允許或拒絕對物件進行存取的安全性主體。

物件的第一個擁有者，通常是與建立物件的執行緒關聯的安全性主體。

物件的擁有者可以藉由給予權限，將擁有權轉移到另一個安全性主體。

此外，任何安全性主體如果獲得授權，取得電腦上的檔案或其他物件的擁有權，都能取得電腦上任何物件的擁有權。

權限的繼承

讓系統管理員能夠輕易指派及管理大型物件集合的權限。

這項功能讓容器內的所有子物件都能繼承指定的權限，如此系統管理員即可指定權限以自動套用到容器內部包含的所有物件。

管理權限

讓電腦系統的系統管理員控制哪些使用者擁有執行不同管理功能的權利，或是採取影響全系統資源的任何動作。

管理權限有兩種類型：

使用者權利及權限。

使用者權利控制使用者登入系統的各種方式。

權限控制使用者執行特定工作的能力，這類工作通常會影響到整個電腦系統，而非僅限於特別的物件。

稽核

藉由記錄安全性記錄檔中的特定（可指定）類型動作，進行使用者或系統活動的追蹤。

稽核資料可以用來偵測規避資源保護的嘗試，並建立電腦系統管理動作的記錄。

低階作業

如前所言，每項管理工作都牽涉到對資料執行一些低階作業。

因此對於各種低階作業的瞭解，也就有助於瞭解管理工作如何作用的細節。

下列是能夠對資料執行的一些低階作業：

∙建立物件。

這項低階作業牽涉到ActiveDirectory之中新物件的建立。

例如，建立新使用者帳戶的管理工作，就牽涉到在ActiveDirectory的一些父物件下，建立User類別物件的低階作業。

∙檢視物件或是特定物件的所有子物件。

這項低階作業牽涉到能夠檢視或觀看ActiveDirectory之中的物件。

例如，使用一或多項ActiveDirectory管理工具時，檢視OU或網域的內容，牽涉到執行多項低階作業（每個顯示物件一項作業），才能檢視ActiveDirectory中的物件。

∙讀取物件屬性。

這項低階作業牽涉到存取與讀取ActiveDirectory物件的一或多項屬性。

例如，任何有關讀取使用者資訊（例如電話號碼或姓名）的管理作業，都牽涉到對一或多項使用者物件（代表使用者帳戶）的屬性執行低階讀取作業。

∙修改物件屬性。

這項低階作業牽涉到存取及修改ActiveDirectory物件的一或多項屬性值。

例如，任何有關修改使用者物件資訊（例如電話號碼或辦公室位置）的管理工作，都牽涉到低階的修改作業。

變更使用者的密碼，牽涉到針對使用者帳戶的對應使用者物件的密碼屬性，執行低階的修改作業。

同樣地，修改子網路對特定ActiveDirectory邏輯站台的關聯，牽涉到針對代表特定子網路的物件的siteobject屬性，執行低階的修改作業。

∙讀取物件的安全性描述元。

每個可設定保護的物件都由安全性描述元（是物件儲存內容的重要部分）保護；在ActiveDirectory物件中，安全性描述元是以NTSecurity-Descriptor屬性代表。

安全性描述元中包含許多資訊，其中的存取控制項目清單，是用來指定物件的低階作業執行人員及其可執行的作業類型。

任何牽涉檢視或變更