活动目录与Exchange的委派管理

今天在虚拟环境内做了活动目录OU的委派管理和Exchange组织的委派管理实验。

主要思路：
新建一个域本地安全组OUAdmin，并将OU和Exchange组织的相应管理权限委派给OUAdmin组，然后再将用户帐号加入该安全组，获得相应管理权限。

小结：
1、新更改了用户权限后，该用户必须重新登录活动目录才能生效；
2、两个站点之间复制并不是马上进行的（我想应该是默认的复制周期没到），通过手动复制才能马上看到效果。
3、委派管理实际上只不过是提供了一个操作向导，其实质是对OU/Domain等对象赋予用户权限。这一点可以通过在ADUC内，点击“查看”-“高级功能”来打开对象的“安全”选项卡。查看“安全”选项卡，就能看到相应的权限设置了。
4、在委派OU管理时，要注意一点：受委派的用户仅仅在被委派的OU内拥有管理员委派的权限。
比如：如果想让某个用户在OU内能新建帐号，加入安全组或通讯组，将计算机加入域。而将计算机加入域，默认是加到Computers容器内的，因此，还要给Computers容器赋予该用户“添加计算机”的权限。相应的，当计算机退出域后，默认并不删除该计算机帐号。当再次以同名将计算机加入域时，系统以用户当前的登录凭证去尝试修改计算机属性。因此，此时还需要赋予该用户拥有修改该计算机属性的权限。

参考文章：
委派Active Directory管理的最佳实践：
http://gnaw0725.blogbus.com/logs/4888502.html

Exchange服务器系列课程之八--委派控制与安全设置
/content/3312084.html本文出自 “云峰阁” 博客，请务必保留此出处http://yunfeng.blog.51cto.com/202525/225208