引言：在網(wǎng)絡(luò)環(huán)境中，管理員級(jí)別的賬戶（例如域管理員等）往往擁有很高的權(quán)限，掌握著網(wǎng)絡(luò)運(yùn)行的控制大權(quán)。不過，對(duì)于復(fù)雜的網(wǎng)絡(luò)來說，如果讓管理員承擔(dān)所有的管理任務(wù)，無(wú)疑會(huì)大大增加工作負(fù)荷。其實(shí)，在有些情況下，對(duì)于一些非核心的網(wǎng)絡(luò)管理操作，管理員可以將其委派給其他的賬戶來完成。這樣既減輕了管理員的工作壓力，又提高了網(wǎng)絡(luò)管理的靈活性。

在域環(huán)境中，利用組策略可以針對(duì)服務(wù)器和客戶端進(jìn)行統(tǒng)一配置，大大提高了網(wǎng)絡(luò)管理的效率。在實(shí)際管理組策略時(shí)，域管理員有時(shí)需要將相關(guān)的權(quán)限委派給其他用戶，這樣可以提高管理的靈活性。

組策略的委派分為兩個(gè)部分，其一是對(duì)組策略對(duì)象的創(chuàng)建以及編輯等操作，可以委派特定的用戶或者組相關(guān)權(quán)限來完成。其二是指在特定的容器上，可以指派特定的用戶具有連接GPO的權(quán)限。

對(duì)于前者，在DC控制器上啟動(dòng)組策略管理器后，在左側(cè)選擇“林→域→域名→組策略對(duì)象”項(xiàng)，選擇特定的策略項(xiàng)，在右側(cè)的“委派”面板點(diǎn)擊“添加”，在彈出窗口中輸入或者查找特定的用戶或者組，點(diǎn)擊“確定”，在打開窗口中的“權(quán)限”列

組策略的委派功能

表中可以為其指定權(quán)限，包括讀取、編輯設(shè)置、修改安全性等。例如選擇“編輯設(shè)置”項(xiàng)，點(diǎn)擊“確定”按鈕，完成權(quán)限的委派。也可以選擇“組策略對(duì)象”節(jié)點(diǎn)，在右側(cè)的“委派”面板中點(diǎn)擊“添加”按鈕，為選定的賬戶和組指派權(quán)限，讓其可以管控整個(gè)組策略對(duì)象。

對(duì)于后者來說，可以在組策略窗口左側(cè)選擇特定的容器，在右側(cè)的“委派”面板中點(diǎn)擊“添加”按鈕，選擇目標(biāo)賬戶或組，在彈出窗口的“權(quán)限”列表中提供了僅該容器，此容器和所有的子容器等項(xiàng)。之后在“委派”面板中選擇該委派項(xiàng)，在“權(quán)限”列表中選擇具體的權(quán)限，包括讀取組策略結(jié)果數(shù)據(jù)，鏈接GPO、執(zhí)行組策略建模分析等。

當(dāng)設(shè)置完畢后，可以在客戶端（例如Windows 7等）上運(yùn)行組策略管理程序，將委派的權(quán)限分發(fā)到客戶端，使其可以使用這些權(quán)限，對(duì)指定的組策略對(duì)象進(jìn)行編輯，以及鏈接組策略到特定的容器中等操作。這樣，就實(shí)現(xiàn)了組策略對(duì)象的分布式管理功能。

注意，要在域中的Windows 7等客戶端上使用組策略管理工具，需要下載安裝KB958830功能包。在“控制面板”中打開“打開或關(guān)閉Windows功能”程序項(xiàng)，在其中的“遠(yuǎn)程服務(wù)管理工具→功能管理工具”分支下選擇“組策略管理工具”項(xiàng)。當(dāng)該工具安裝完畢后，利用其就可以在客戶端上對(duì)域的組策略進(jìn)行管理了。

在AD中委派權(quán)限

在活動(dòng)目錄中使用委派的權(quán)限，可以讓指定的用戶或組擁有一定的管理賬戶的權(quán)力。在DC上啟動(dòng)Active Directory用戶和計(jì)算機(jī)程序，在窗口左側(cè)選擇某個(gè)OU（例如名為“xxx”），在右側(cè)可以看到其中的賬戶信息。本例中針對(duì)該OU，執(zhí)行權(quán)限委派操作。在其右鍵菜單上點(diǎn)擊“委派控制”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕，在用戶或組窗口中點(diǎn)擊“添加”按鈕，導(dǎo)入所需的用戶或組。

在下一步窗口（如圖1）中選擇“委派下列常見任務(wù)”項(xiàng)，可以為其指派所需的權(quán)限，包括創(chuàng)建、刪除和管理用戶賬戶，重置用戶密碼并強(qiáng)制在下次登錄時(shí)更改密碼，讀取所有用戶信息，創(chuàng)建、刪除和管理組，修改組成員身份，管理組策略鏈接，生成策略的結(jié)果集，創(chuàng)建、刪除和管理inetOrgPerson賬戶，重置inetOrgPerson密碼并強(qiáng)制在下次登錄時(shí)更改密碼，讀取所有inetOrgPerson信息等。

圖1 選擇委派的任務(wù)

選擇“創(chuàng)建自定義任務(wù)去委派”項(xiàng)，可以自定義委派的權(quán)限。這里選擇前者中的“重置用戶密碼并強(qiáng)制在下次登錄時(shí)更改密碼”項(xiàng)。點(diǎn)擊“完成”按鈕，執(zhí)行權(quán)限的委派操作。

之后運(yùn)行“mmc”命令，在控制臺(tái)窗口中點(diǎn)擊菜單“文件→添加/刪除管理單元”項(xiàng)，在打開窗口中的“可用的管理單元”列表中選擇“Active Directory用戶和計(jì)算機(jī)”項(xiàng)，點(diǎn)擊“添加”按鈕，將其導(dǎo)入到控制臺(tái)中。在左側(cè)選擇名為“xxx”的OU項(xiàng)，在其右鍵菜單上點(diǎn)擊“從這里創(chuàng)建窗口”項(xiàng)，為其單獨(dú)打開管理窗口。在該OU的右鍵菜單上點(diǎn)擊“新任務(wù)版視圖”項(xiàng)，在向?qū)Ы缑嬷幸来吸c(diǎn)擊“下一步”，采用默認(rèn)的配置。

點(diǎn)擊“完成”，在新任務(wù)向?qū)Ы缑嬷幸来吸c(diǎn)擊“下一步”，在菜單命令窗口中的“可用命令”欄提供了很多命令，這里選擇“重置密碼”項(xiàng)，依次點(diǎn)擊“下一步”，為其設(shè)置任務(wù)名和描述信息，選擇外觀圖標(biāo)，點(diǎn)擊“完成”，創(chuàng)建所需的任務(wù)。

這樣，就創(chuàng)建好了所需的自定義控制臺(tái)。點(diǎn)擊“查看→自定義”項(xiàng)，在彈出窗口中可以對(duì)界面進(jìn)行深入的調(diào)整，例如取消控制臺(tái)樹、標(biāo)準(zhǔn)菜單、標(biāo)準(zhǔn)工具欄、狀態(tài)欄、任務(wù)欄導(dǎo)航選項(xiàng)卡、操作窗格菜單、工具欄等項(xiàng)目的選擇狀態(tài)，讓控制界面更加簡(jiǎn)單。

點(diǎn)擊菜單“文件→選項(xiàng)”項(xiàng)，在彈出窗口中的“控制臺(tái)模式”列表中選擇“用戶模式→完全訪問”項(xiàng)，點(diǎn)擊“確定”保存配置信息。點(diǎn)擊“文件→保存”項(xiàng)，將其保存為獨(dú)立的文件，后綴為“.msc”。將該文件復(fù)制到域中對(duì)應(yīng)的客戶機(jī)上，以委派的賬戶身份登錄并運(yùn)行該程序，就會(huì)對(duì)指定的OU中的賬戶進(jìn)行管理，在本例中只能執(zhí)行重置密碼操作，而無(wú)法執(zhí)行其他的操作。

委派證書管理

使用證書，可以實(shí)現(xiàn)認(rèn)證和加密的功能。為了提高管理的靈活性，可以視情況為指定的用戶委派權(quán)限，允許其對(duì)證書進(jìn)行管理。在DC上打開證書頒發(fā)結(jié)構(gòu)控制臺(tái)，在左側(cè)選擇證書服務(wù)器名稱節(jié)點(diǎn)，在右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在屬性窗口（如圖2）的“安全”面板中可以看到，在默認(rèn)情況下，Authenticated Users組具有請(qǐng)求證書的權(quán)限，對(duì)于Domain Admins，Enterprise Admins以及Administrators組來說，具有頒發(fā)和管理證書，管理CA服務(wù)的權(quán)限。您可以根據(jù)實(shí)際情況，將其他的賬戶或組添加進(jìn)來，委派其擁有頒發(fā)和管理證書的權(quán)限。

點(diǎn)擊“添加”按鈕，導(dǎo)入目標(biāo)賬戶或組，之后在“允許”列中選擇“頒發(fā)和管理證書”項(xiàng)，為其委派權(quán)限。此外，在“證書管理器”面板中選擇“限制證書管理員”項(xiàng)，在下面顯示所有擁有證書管理權(quán)限的所有用戶和組信息。在默認(rèn)情況下，擁有對(duì)全部證書模板擁有管理權(quán)。點(diǎn)擊“添加”，在證書模板窗口中選擇合適的模板，并添加到“證書模板”列表中。選擇“<全部>”項(xiàng)，點(diǎn)擊“刪除”，將其刪除。這樣，就可以限制上述賬戶或組的權(quán)限，讓其只能管理指定的證書。對(duì)于選定的證書模板，也可以控制它的訪問權(quán)限，在默認(rèn)情況下，允許Everyone組對(duì)其訪問。

圖2 選擇管理證書的用戶

圖3 申請(qǐng)證書向?qū)Ы缑?/p>

在“權(quán)限”列表右側(cè)點(diǎn)擊“添加”按鈕，可以添加所需的賬戶或則，允許訪問選定的證書。選擇“刪除”按鈕，可以刪除選定的賬戶或組。點(diǎn)擊“拒絕”按鈕，可以拒絕選定的用戶對(duì)證書的訪問權(quán)限。再次打開根節(jié)點(diǎn)屬性窗口，在“策略模塊”面板中點(diǎn)擊“屬性”，在彈出窗口中選擇“將證書請(qǐng)求設(shè)置為掛起狀態(tài)，管理員必須明確的頒發(fā)證書”項(xiàng)，點(diǎn)擊“應(yīng)用”按鈕保存配置信息。在根節(jié)點(diǎn)的右鍵菜單上點(diǎn)擊“所有任務(wù)→停止服務(wù)”項(xiàng)，停止證書服務(wù)。之后點(diǎn)擊工具欄上的啟動(dòng)按鈕，再次啟動(dòng)該服務(wù)，激活以上設(shè)置操作。

之后在域中某臺(tái)服務(wù)器上執(zhí)行“mmc”命令，在控制臺(tái)中點(diǎn)擊菜單“文件→添加/刪除管理單元”項(xiàng)，在列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”，點(diǎn)擊“完成”按鈕，完成添加操作。在控制臺(tái)左側(cè)選擇“證書→個(gè)人”項(xiàng)，在右鍵菜單上點(diǎn)擊“所有任務(wù)→申請(qǐng)新證書”項(xiàng)，在向?qū)Ы缑妫ㄈ鐖D3）中選擇“Active Directory 注冊(cè)策略”項(xiàng)，點(diǎn)擊“下一步”按鈕，選擇某個(gè)模板，點(diǎn)擊“注冊(cè)”按鈕，在證書注冊(cè)窗口中顯示其狀態(tài)為“注冊(cè)暫?！保@就要求證書管理員明確頒發(fā)操作方可。

在本主機(jī)上安裝證書頒發(fā)結(jié)構(gòu)管理工具，在管理工具菜單中選擇“證書頒發(fā)機(jī)構(gòu)”程序項(xiàng)，按下“Shift”鍵的同時(shí)在其右鍵菜單上點(diǎn)擊“以其他用戶身份運(yùn)行”項(xiàng)，輸入上述添加為證書管理員的賬戶名和密碼，跳過系統(tǒng)警告信息，在證書頒發(fā)機(jī)構(gòu)窗口根節(jié)點(diǎn)的右鍵菜單上點(diǎn)擊“重新定位證書頒發(fā)機(jī)構(gòu)”項(xiàng)，在彈出窗口中選擇“另一臺(tái)計(jì)算機(jī)”項(xiàng)，點(diǎn)擊“瀏覽”，選擇 DC域控制器。點(diǎn)擊“確定”，執(zhí)行加載證書頒發(fā)機(jī)構(gòu)操作。完畢后選擇“根節(jié)點(diǎn)→掛起的申請(qǐng)”項(xiàng)，在右側(cè)選擇剛才申請(qǐng)的證書，在右鍵菜單上點(diǎn)擊“所有任務(wù)→頒發(fā)”項(xiàng)，完成證書的頒發(fā)操作。

設(shè)置DNS委派

DNS是基于分布式的結(jié)構(gòu)運(yùn)作的，可以通過委派加以實(shí)現(xiàn)。利用委派功能，可以將不同的域名分配到不同的DNS服務(wù)器上。

例如在域環(huán)境中存在兩臺(tái)DNS服務(wù)器，在第一臺(tái)服務(wù)器上打開DNS管理器，在其左側(cè)選擇“DNS→DNS主機(jī)名→正向查找區(qū)域”項(xiàng)，在其中選擇某個(gè)查找區(qū)域（例如“xxx.com”），在右側(cè)可以看到“www”、“mail”等記錄項(xiàng)。在該區(qū)域項(xiàng)目的右鍵菜單上點(diǎn)擊“創(chuàng)建委派”項(xiàng)，在向?qū)Ы缑妫ㄈ鐖D4）中點(diǎn)擊“下一步”，在受委派域名窗口中輸入受委派的域名（例如“kaifa”），在下一步的“名稱服務(wù)器”窗口中點(diǎn)擊“添加”按鈕，輸入第二臺(tái)DNS服務(wù)器的域名（例如“dnssrv2@xxx.com”），點(diǎn)擊“解析”按鈕，獲得其IP地址。

圖4 委派向?qū)Ы缑?/p>

之后點(diǎn)擊“完成”，完成委派操作。在第二臺(tái)DNS服務(wù)器上打開DNS管理器，在其中需要承接委派。在窗口左側(cè)選擇“DNS→DNS主機(jī)名→正向查找區(qū)域”項(xiàng)，在右鍵菜單上點(diǎn)擊“新建區(qū)域”項(xiàng)，在向?qū)Т翱谥羞x擇“主要區(qū)域”項(xiàng)，點(diǎn)擊“下一步”，在“區(qū)域名稱”欄中輸入上述委派的區(qū)域名稱，例如“kaifa.xxx.com”。依次點(diǎn)擊“下一步”，完成區(qū)域創(chuàng)建操作。在窗口左側(cè)選擇“DNS→DNS主機(jī)名→正向查找區(qū)域→kaifa.xxx.com”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建主機(jī)（A或AAAA）”項(xiàng)，在新建主機(jī)窗口創(chuàng)建一條A記錄，例如在“名稱”欄中輸入“www”，在“IP地址”欄中輸入合適的地址。點(diǎn)擊“添加主機(jī)”，完成添加操作。這樣就完成了和委派相關(guān)的操作。

在域中的客戶機(jī)上打開CMD窗口，執(zhí)行“nslookup”命令，根據(jù)返回信息，可以看到當(dāng)前的DNS主機(jī)為上述第一臺(tái)DNS服務(wù)器。在命令提示符下輸入“www.kaifa.xxx.com”，回車后可以看到相關(guān)的查詢信息，在“非權(quán)威應(yīng)答”欄中顯示第二臺(tái)DNS的IP地址，這說明域名解析是成功的，在其中發(fā)揮作用的就是DNS委派功能。

實(shí)現(xiàn)AD RMS的委派管理

使用RMS服務(wù)，可以有效提高文檔的安全性。當(dāng)在RMS服務(wù)器上安裝好RMS服務(wù)后，必須重啟系統(tǒng)，才可以對(duì)其進(jìn)行管理。點(diǎn)擊“Win+R”鍵，執(zhí)行“l(fā)usrmgr.msc”程序，在賬戶管理窗口左側(cè)選擇“組”項(xiàng)，在右側(cè)雙擊“Ad RMS Enterprise Administrators”組，在其屬性窗口中點(diǎn)擊“添加”按鈕，添加所需的域賬戶，使其擁有ADRMS的管理權(quán)限。之后在管理工具菜單中點(diǎn)擊“Active Directory Rights Management Services”項(xiàng)，在默認(rèn)情況下，系統(tǒng)會(huì)使用管理員權(quán)限連接到AD RMS服務(wù)。

此外，還可以委派其他賬戶來連接和管理該服務(wù)。在ADRMS管理窗口左側(cè)選擇根節(jié)點(diǎn)，在右鍵菜單上點(diǎn)擊“添加群集”項(xiàng)，在彈出窗口中選擇“本地計(jì)算機(jī)”項(xiàng)，選擇“連接身份”項(xiàng)，在“用戶名”欄中輸入上述賬戶名，輸入密碼，點(diǎn)擊“確定”按鈕，可以看到該賬戶也可以連接到AD RMS服務(wù)上，并對(duì)其進(jìn)行管理。這樣，就實(shí)現(xiàn)了AD RMS的管理委派功能。

SCVMM的委派管理

利用SCVMM這一工具，可以對(duì)虛擬機(jī)進(jìn)行集中管控。要實(shí)現(xiàn)SCVMM委派管理，需要滿足兩個(gè)條件，其一是在客戶端（例如Windows主機(jī)）上安裝SCVMM管理工具，其二需要?jiǎng)?chuàng)建相應(yīng)的安全組以及用戶。這樣，才可以在VMM服務(wù)器上實(shí)現(xiàn)委派的管理。在Windows 7客戶端放入SCVMM安裝光盤，運(yùn)行SCVMM安裝程序，在安裝界面中點(diǎn)擊“安裝”鏈接，在選擇要安裝的功能窗口中選擇“VMM控制臺(tái)”項(xiàng)，依次點(diǎn)擊“下一步”按鈕，在端口設(shè)置窗口中可以更改管理員控制臺(tái)端口，默認(rèn)為8100。之后完成VMM控制臺(tái)的安裝操作。

如果需要的話，可以按照同樣的方法，在多臺(tái)客戶端上分別安裝VMM控制臺(tái)，實(shí)現(xiàn)靈活的控制操作。在DC控制器上打開Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)窗口選擇“Users”容器，在右側(cè)窗口點(diǎn)擊右鍵，選擇“所有任務(wù)→組”項(xiàng)，在彈出窗口中的“組名”欄中輸入“vmmadmins”，選 擇“全局”和“安全組”項(xiàng)，點(diǎn)擊“確定”，創(chuàng)建名為“vmmadmins”的組。按照同樣的方法，創(chuàng)建名 為“vmmreadonlyadmins”的組。分別選擇“所有任務(wù)→用戶”項(xiàng)，創(chuàng)建兩個(gè)合適的用戶，例如名稱為“glkzt1”和“glkzt2”。之后將前一個(gè)用戶添加到“vmmadmins”組，將后一個(gè)賬戶添加到“vmmreadonlyadmins”組中。

在客戶端主機(jī)桌面上雙擊“Virtual Machine Manager”圖標(biāo)，在彈出窗口中的“服務(wù)器名稱”欄中輸入VMM服務(wù)器的域名，例如“vnn.xxx.com:8100”。 因?yàn)樵诳蛻舳耸褂玫氖怯蚬芾韱T身份登錄，所以選擇“使用當(dāng)前的Microsoft Windows會(huì)話標(biāo)識(shí)”項(xiàng)，表示使用域管理員身份連接VMM服務(wù)器。當(dāng)連接成功后，在VMM管理窗口左下角點(diǎn)擊“設(shè)置”項(xiàng)，在左側(cè)選擇“安全性→用戶角色”項(xiàng)，點(diǎn)擊工具欄上的“創(chuàng)建用戶角色”按鈕，在彈出窗口中的“名稱”欄中輸 入“vmmadmins”，點(diǎn)擊“下一步”，選擇“委派的管理員”項(xiàng)，在“下一步”窗口中點(diǎn)擊“添加”按鈕，導(dǎo)入上述創(chuàng)建的“vmmadmins”組。

在下一步的范圍窗口中選擇“所有主機(jī)”項(xiàng)，在下一步窗口中點(diǎn)擊“添加”按鈕，選 擇“vmm.xxx.com”主機(jī)，將其作為庫(kù)服務(wù)器，讓選定的用戶和組對(duì)其具有管理權(quán)限。點(diǎn)擊“完成”，創(chuàng)建用來委派的管理員組。點(diǎn)擊工具欄上的“創(chuàng)建用戶角色”按鈕，創(chuàng)建另外一個(gè)委派的管理員組。方法與上述基本相同，所不同的是，角色名稱是“vmmreadonlyadmins”，選擇的是上述創(chuàng)建的“vmmreadonlyadmins” 組，對(duì)應(yīng)的是“只讀管理員”項(xiàng)。該類型的管理員只能查看對(duì)象信息而無(wú)法對(duì)其修改。

當(dāng)添加了兩個(gè)角色組之后，在客戶端上打開VMM連接工具，選擇“指定憑據(jù)”項(xiàng)，輸入“xxx glkzt1”賬戶名和密碼，點(diǎn)擊“連接”按鈕，登錄到VMM管理器上，該賬戶擁有完全的管理權(quán)限，可以執(zhí)行諸如創(chuàng)建服務(wù)，創(chuàng)建虛擬機(jī)，創(chuàng)建云等操作。對(duì)應(yīng)的，使用“glkzt2”賬戶進(jìn)行登錄，雖然可以連接到VMM服務(wù)器，但是只能擁有查看權(quán)限而無(wú)法執(zhí)行任何相關(guān)的創(chuàng)建操作。