Active Directory权限委派(1)

在管理一个比较大的环境的时候,我们通常会将一些权力委派给其他人来做,已达到减轻自己负担的目的,比如委派给部门经理;我所演示的也只有一个秘密重置的权限,至于其他的权限,委派的方法也是一样的,只不过选择的权限不一样;

1、打开“Active Directory 用户和计算机”找到想要委派的OU,并右击选择“委派控制”打开控制委派向导;

2、在欢迎使用控制向导页面,选择“下一步”;

3、下“用户或组”页面,选择“添加”按钮,添加用户或组;

4、输入用户或组的名称(我这里用的是用户,在生产环境中有时会用的组,比方说管理组等);通过“检查名称”按钮检查输入用户或组名称的正确性;如果正确会显示用户或组的完整名称并有下划线;如果不知道具体用户或组的名称,可以通过“高级”进行查找;然后选择“确定”;

5、返回到用户或组页面,选择“下一步”;

6、选择想要委派的权限;如图,我选择的是常见任务里面的“重置用户密码并强制在下次登录时更改密码”;当然你也可以选择常见任务里面的其他任务;或者可以自定义委派;

7、在完成控制委派向导页面选择“完成”;

到这来委派就算完成了,但用户怎么去使用呢?

首先需要在用户计算机上面(即你委派权限的用户)安装“远程管理工具(RSAT)”

windows 7    http://www.microsoft.com/zh-cn/download/details.aspx?id=7887

windows 8    http://www.microsoft.com/zh-cn/download/details.aspx?id=28972

windows 8.1  http://www.microsoft.com/zh-cn/download/details.aspx?id=39296

注意win8的不能再win8.1上使用;

下载好,在客户端安装远程管理工具:

1、双击下载下来的安装文件;(我安装过三次,有两次在这个界面等了一会,有一次很快就出现安装界面了)

2、在许可协议页面,选择“我接受”;

3、正在安装;

4、安装完成,并选择“关闭”;

Active Directory权限委派(2):http://yupeizhi.blog.51cto.com/3157367/1591724

时间: 2024-08-08 09:35:27

Active Directory权限委派(1)的相关文章

Active Directory权限委派(2)

接前面Active Directory权限委派(1):http://yupeizhi.blog.51cto.com/3157367/1591721 5.右击"开始"选择"运行"(我是Windows 8.1的系统,所以又开始菜单,如果是Windows 8可以直接移到最左下角)输入"mmc"并"确定": 6.打开控制台后,选择"文件"并选择"添加/删除管理单元": 7.选择"Act

滥用DNSAdmins权限进行Active Directory提权

0x00 前言 除了在实现自己的DNS服务器功能之外,Microsoft还为该服务器实现自己的管理协议以便于管理与Active Directory域集成.默认情况下,域控制器也是DNS服务器; 大多数情况下每个域用户都需要访问和使用DNS服务器的功能.反过来,这会在域控制器上暴露出相当多的攻击面:一方面是DNS协议本身,另一方面是管理协议,它基于RPC.我们将深入研究DNS协议的实现并详细介绍一个非常棒的提权技巧.它允许我们在某些情况下不是域管理员在域控制器上也可以运行危险代码,虽然这并不是一个

Windows Server 笔记(六):Active Directory域服务:组织单位

组织单位(Organization Unit,OU)是Active Directory中的一个容器,把域中的对象组成一个逻辑组,可以包含:用户.组.计算机和其他OU等,如下图所示,但不限于下图所示:OU只能包含自己域中的对象,并且OU的嵌套(OU下面包含OU)建议不要超过十层: OU通常是基于管理需求,将具有"相同属性(同一部门.同一小组等等)"的对象集中在一起管理.默认的容器中,除了Domain Controllers之外其他的容器都不属于OU: 一.创建组织单位: 1.打开Acti

Active Directory 基础 (2)

接前面Active Directory 基础 (1) 信任(Trust) 信任是在两个域之间建立的关系,可以使一个域中的用户在另一个域中进行身份验证和资源访问.(资源访问需要有该资源的相应权限.)可以发生在同一个域树之间.一个林之间和不同林之间.一个新的域被加入到域树后,这个域会自动信任其上一层的父域,同时这个父域也会自动信任信任这个子域.这种关系是双向的,并且是可以传递的.如图1-5所示,xuelan.local与shanghai.xuelan.local互相信任,xuelan.local与b

Windows Server 2016-管理Active Directory复制任务

Repadmin.exe可帮助管理员诊断运行Microsoft Windows操作系统的域控制器之间的Active Directory复制问题. Repadmin.exe内置于Windows Server 2008&08R2及以上版本中.如果安装了AD DS或AD LDS服务器角色,则可用.如果您安装属于远程服务器管理工具(RSAT)的Active Directory域服务工具,也可以使用它. 要使用Repadmin.exe,您必须从提升的命令提示符处运行ntdsutil命令.要打开提升的命令提

Active Directory域服务

概念: 工作组:workgroup 适合网络资源少,10台左右计算机. 分散管理(对等网,每个员工维护自己的电脑,身份平等) 适合于小型网络 不便之处:为了达到互相访问的目的,可能需要在每台电脑上为其他同事建立很多用户帐号(不愿意透露管理员密码的情况下) 每台电脑自己维护管理员密码,如果忘记密码,可能由it管理员强行破解密码 每台计算机自由安装各种软件,容易引起系统崩溃 Windows域 Domain 将网络中的资源逻辑上组织到一起,将其视为一个整体.资源:计算机.用户.组.打印机.共享文件夹等

Windows Server 笔记(六):Active Directory域服务:额外域控制器

额外域控制器: 额外域控制器是指除了第一台安装的域控制器(主域控制器)意外的所有域控制器: 那么额外域控制器有什么好处呢? 1.可以提供容错.即一台DC出问题后,另一台仍可以可以继续工作,提供服务: 2.提高用户登录效率.多台域控可以分担用户审核,加快用户登录速度: 3.备份.域控制器之间会相互复制,就等于多了一份备份: 1.首先设置好IP配置:这里首选DNS指向自己,备用DNS指向主域:将服务器加入域: 2.选择"添加角色和功能": 3.选择"下一步": 4.选择

TFS 与活动目录AD(Active Directory)的同步机制

TFS用户管理机制 TFS系统与企业域服务器用户系统(或本地计算机用户系统)高度集成在一起,使用域服务器验证系统用户的账户和密码,从而在企业中实现单一用户,单点登录.也就是说,TFS系统自身并没有用户管理的功能,没有针对账户信息的创建.修改.删除功能.当用户通过域服务器提供的功能修改了账户密码以后,登陆TFS系统时,需要使用新的账户密码. 但是,并不是说在TFS系统中完全没有账户信息的概念.实际上,当管理员将开发人员的域账户或本地服务器的账户添加到TFS的团队项目中时,TFS系统自动将账户的部分

Active Directory 健康检查

Active Directory是企业后端最重要的基础架构应用,没有之一.AD的安全与可靠几乎影响所有应用.除了符合微软最佳实践的设计以及标准化的运维之外,定期执行一次健康检查,并且在重大项目启动前也进行一次健康检查将会很好的保障整个活动目录持续可靠的为企业应用提供良好的支撑. 微软原厂可以提供专业的AD健康检查服务,使用ADRAP(Risk Assessment Program)程序,运行ADST(Active Directory Snapshot Tool)工具来抓取AD中的各种信息,并最终