“委派”為網管減壓

引言：在網絡環境中，管理員級別的賬戶（例如域管理員等）往往擁有很高的權限，掌握著網絡運行的控制大權。不過，對于復雜的網絡來說，如果讓管理員承擔所有的管理任務，無疑會大大增加工作負荷。其實，在有些情況下，對于一些非核心的網絡管理操作，管理員可以將其委派給其他的賬戶來完成。這樣既減輕了管理員的工作壓力，又提高了網絡管理的靈活性。

在域環境中，利用組策略可以針對服務器和客戶端進行統一配置，大大提高了網絡管理的效率。在實際管理組策略時，域管理員有時需要將相關的權限委派給其他用戶，這樣可以提高管理的靈活性。

組策略的委派分為兩個部分，其一是對組策略對象的創建以及編輯等操作，可以委派特定的用戶或者組相關權限來完成。其二是指在特定的容器上，可以指派特定的用戶具有連接GPO的權限。

對于前者，在DC控制器上啟動組策略管理器后，在左側選擇“林→域→域名→組策略對象”項，選擇特定的策略項，在右側的“委派”面板點擊“添加”，在彈出窗口中輸入或者查找特定的用戶或者組，點擊“確定”，在打開窗口中的“權限”列

組策略的委派功能

表中可以為其指定權限，包括讀取、編輯設置、修改安全性等。例如選擇“編輯設置”項，點擊“確定”按鈕，完成權限的委派。也可以選擇“組策略對象”節點，在右側的“委派”面板中點擊“添加”按鈕，為選定的賬戶和組指派權限，讓其可以管控整個組策略對象。

對于后者來說，可以在組策略窗口左側選擇特定的容器，在右側的“委派”面板中點擊“添加”按鈕，選擇目標賬戶或組，在彈出窗口的“權限”列表中提供了僅該容器，此容器和所有的子容器等項。之后在“委派”面板中選擇該委派項，在“權限”列表中選擇具體的權限，包括讀取組策略結果數據，鏈接GPO、執行組策略建模分析等。

當設置完畢后，可以在客戶端（例如Windows 7等）上運行組策略管理程序，將委派的權限分發到客戶端，使其可以使用這些權限，對指定的組策略對象進行編輯，以及鏈接組策略到特定的容器中等操作。這樣，就實現了組策略對象的分布式管理功能。

注意，要在域中的Windows 7等客戶端上使用組策略管理工具，需要下載安裝KB958830功能包。在“控制面板”中打開“打開或關閉Windows功能”程序項，在其中的“遠程服務管理工具→功能管理工具”分支下選擇“組策略管理工具”項。當該工具安裝完畢后，利用其就可以在客戶端上對域的組策略進行管理了。

在AD中委派權限

在活動目錄中使用委派的權限，可以讓指定的用戶或組擁有一定的管理賬戶的權力。在DC上啟動Active Directory用戶和計算機程序，在窗口左側選擇某個OU（例如名為“xxx”），在右側可以看到其中的賬戶信息。本例中針對該OU，執行權限委派操作。在其右鍵菜單上點擊“委派控制”項，在向導界面中點擊“下一步”按鈕，在用戶或組窗口中點擊“添加”按鈕，導入所需的用戶或組。

在下一步窗口（如圖1）中選擇“委派下列常見任務”項，可以為其指派所需的權限，包括創建、刪除和管理用戶賬戶，重置用戶密碼并強制在下次登錄時更改密碼，讀取所有用戶信息，創建、刪除和管理組，修改組成員身份，管理組策略鏈接，生成策略的結果集，創建、刪除和管理inetOrgPerson賬戶，重置inetOrgPerson密碼并強制在下次登錄時更改密碼，讀取所有inetOrgPerson信息等。

圖1 選擇委派的任務

選擇“創建自定義任務去委派”項，可以自定義委派的權限。這里選擇前者中的“重置用戶密碼并強制在下次登錄時更改密碼”項。點擊“完成”按鈕，執行權限的委派操作。

之后運行“mmc”命令，在控制臺窗口中點擊菜單“文件→添加/刪除管理單元”項，在打開窗口中的“可用的管理單元”列表中選擇“Active Directory用戶和計算機”項，點擊“添加”按鈕，將其導入到控制臺中。在左側選擇名為“xxx”的OU項，在其右鍵菜單上點擊“從這里創建窗口”項，為其單獨打開管理窗口。在該OU的右鍵菜單上點擊“新任務版視圖”項，在向導界面中依次點擊“下一步”，采用默認的配置。

點擊“完成”，在新任務向導界面中依次點擊“下一步”，在菜單命令窗口中的“可用命令”欄提供了很多命令，這里選擇“重置密碼”項，依次點擊“下一步”，為其設置任務名和描述信息，選擇外觀圖標，點擊“完成”，創建所需的任務。

這樣，就創建好了所需的自定義控制臺。點擊“查看→自定義”項，在彈出窗口中可以對界面進行深入的調整，例如取消控制臺樹、標準菜單、標準工具欄、狀態欄、任務欄導航選項卡、操作窗格菜單、工具欄等項目的選擇狀態，讓控制界面更加簡單。

點擊菜單“文件→選項”項，在彈出窗口中的“控制臺模式”列表中選擇“用戶模式→完全訪問”項，點擊“確定”保存配置信息。點擊“文件→保存”項，將其保存為獨立的文件，后綴為“.msc”。將該文件復制到域中對應的客戶機上，以委派的賬戶身份登錄并運行該程序，就會對指定的OU中的賬戶進行管理，在本例中只能執行重置密碼操作，而無法執行其他的操作。

委派證書管理

使用證書，可以實現認證和加密的功能。為了提高管理的靈活性，可以視情況為指定的用戶委派權限，允許其對證書進行管理。在DC上打開證書頒發結構控制臺，在左側選擇證書服務器名稱節點，在右鍵菜單上點擊“屬性”項，在屬性窗口（如圖2）的“安全”面板中可以看到，在默認情況下，Authenticated Users組具有請求證書的權限，對于Domain Admins，Enterprise Admins以及Administrators組來說，具有頒發和管理證書，管理CA服務的權限。您可以根據實際情況，將其他的賬戶或組添加進來，委派其擁有頒發和管理證書的權限。

點擊“添加”按鈕，導入目標賬戶或組，之后在“允許”列中選擇“頒發和管理證書”項，為其委派權限。此外，在“證書管理器”面板中選擇“限制證書管理員”項，在下面顯示所有擁有證書管理權限的所有用戶和組信息。在默認情況下，擁有對全部證書模板擁有管理權。點擊“添加”，在證書模板窗口中選擇合適的模板，并添加到“證書模板”列表中。選擇“<全部>”項，點擊“刪除”，將其刪除。這樣，就可以限制上述賬戶或組的權限，讓其只能管理指定的證書。對于選定的證書模板，也可以控制它的訪問權限，在默認情況下，允許Everyone組對其訪問。

圖2 選擇管理證書的用戶

圖3 申請證書向導界面

在“權限”列表右側點擊“添加”按鈕，可以添加所需的賬戶或則，允許訪問選定的證書。選擇“刪除”按鈕，可以刪除選定的賬戶或組。點擊“拒絕”按鈕，可以拒絕選定的用戶對證書的訪問權限。再次打開根節點屬性窗口，在“策略模塊”面板中點擊“屬性”，在彈出窗口中選擇“將證書請求設置為掛起狀態，管理員必須明確的頒發證書”項，點擊“應用”按鈕保存配置信息。在根節點的右鍵菜單上點擊“所有任務→停止服務”項，停止證書服務。之后點擊工具欄上的啟動按鈕，再次啟動該服務，激活以上設置操作。

之后在域中某臺服務器上執行“mmc”命令，在控制臺中點擊菜單“文件→添加/刪除管理單元”項，在列表中選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”，點擊“完成”按鈕，完成添加操作。在控制臺左側選擇“證書→個人”項，在右鍵菜單上點擊“所有任務→申請新證書”項，在向導界面（如圖3）中選擇“Active Directory 注冊策略”項，點擊“下一步”按鈕，選擇某個模板，點擊“注冊”按鈕，在證書注冊窗口中顯示其狀態為“注冊暫?！保@就要求證書管理員明確頒發操作方可。

在本主機上安裝證書頒發結構管理工具，在管理工具菜單中選擇“證書頒發機構”程序項，按下“Shift”鍵的同時在其右鍵菜單上點擊“以其他用戶身份運行”項，輸入上述添加為證書管理員的賬戶名和密碼，跳過系統警告信息，在證書頒發機構窗口根節點的右鍵菜單上點擊“重新定位證書頒發機構”項，在彈出窗口中選擇“另一臺計算機”項，點擊“瀏覽”，選擇 DC域控制器。點擊“確定”，執行加載證書頒發機構操作。完畢后選擇“根節點→掛起的申請”項，在右側選擇剛才申請的證書，在右鍵菜單上點擊“所有任務→頒發”項，完成證書的頒發操作。

設置DNS委派

DNS是基于分布式的結構運作的，可以通過委派加以實現。利用委派功能，可以將不同的域名分配到不同的DNS服務器上。

例如在域環境中存在兩臺DNS服務器，在第一臺服務器上打開DNS管理器，在其左側選擇“DNS→DNS主機名→正向查找區域”項，在其中選擇某個查找區域（例如“xxx.com”），在右側可以看到“www”、“mail”等記錄項。在該區域項目的右鍵菜單上點擊“創建委派”項，在向導界面（如圖4）中點擊“下一步”，在受委派域名窗口中輸入受委派的域名（例如“kaifa”），在下一步的“名稱服務器”窗口中點擊“添加”按鈕，輸入第二臺DNS服務器的域名（例如“dnssrv2@xxx.com”），點擊“解析”按鈕，獲得其IP地址。

圖4 委派向導界面

之后點擊“完成”，完成委派操作。在第二臺DNS服務器上打開DNS管理器，在其中需要承接委派。在窗口左側選擇“DNS→DNS主機名→正向查找區域”項，在右鍵菜單上點擊“新建區域”項，在向導窗口中選擇“主要區域”項，點擊“下一步”，在“區域名稱”欄中輸入上述委派的區域名稱，例如“kaifa.xxx.com”。依次點擊“下一步”，完成區域創建操作。在窗口左側選擇“DNS→DNS主機名→正向查找區域→kaifa.xxx.com”項，在其右鍵菜單上點擊“新建主機（A或AAAA）”項，在新建主機窗口創建一條A記錄，例如在“名稱”欄中輸入“www”，在“IP地址”欄中輸入合適的地址。點擊“添加主機”，完成添加操作。這樣就完成了和委派相關的操作。

在域中的客戶機上打開CMD窗口，執行“nslookup”命令，根據返回信息，可以看到當前的DNS主機為上述第一臺DNS服務器。在命令提示符下輸入“www.kaifa.xxx.com”，回車后可以看到相關的查詢信息，在“非權威應答”欄中顯示第二臺DNS的IP地址，這說明域名解析是成功的，在其中發揮作用的就是DNS委派功能。

實現AD RMS的委派管理

使用RMS服務，可以有效提高文檔的安全性。當在RMS服務器上安裝好RMS服務后，必須重啟系統，才可以對其進行管理。點擊“Win+R”鍵，執行“lusrmgr.msc”程序，在賬戶管理窗口左側選擇“組”項，在右側雙擊“Ad RMS Enterprise Administrators”組，在其屬性窗口中點擊“添加”按鈕，添加所需的域賬戶，使其擁有ADRMS的管理權限。之后在管理工具菜單中點擊“Active Directory Rights Management Services”項，在默認情況下，系統會使用管理員權限連接到AD RMS服務。

此外，還可以委派其他賬戶來連接和管理該服務。在ADRMS管理窗口左側選擇根節點，在右鍵菜單上點擊“添加群集”項，在彈出窗口中選擇“本地計算機”項，選擇“連接身份”項，在“用戶名”欄中輸入上述賬戶名，輸入密碼，點擊“確定”按鈕，可以看到該賬戶也可以連接到AD RMS服務上，并對其進行管理。這樣，就實現了AD RMS的管理委派功能。

SCVMM的委派管理

利用SCVMM這一工具，可以對虛擬機進行集中管控。要實現SCVMM委派管理，需要滿足兩個條件，其一是在客戶端（例如Windows主機）上安裝SCVMM管理工具，其二需要創建相應的安全組以及用戶。這樣，才可以在VMM服務器上實現委派的管理。在Windows 7客戶端放入SCVMM安裝光盤，運行SCVMM安裝程序，在安裝界面中點擊“安裝”鏈接，在選擇要安裝的功能窗口中選擇“VMM控制臺”項，依次點擊“下一步”按鈕，在端口設置窗口中可以更改管理員控制臺端口，默認為8100。之后完成VMM控制臺的安裝操作。

如果需要的話，可以按照同樣的方法，在多臺客戶端上分別安裝VMM控制臺，實現靈活的控制操作。在DC控制器上打開Active Directory用戶和計算機窗口，在左側窗口選擇“Users”容器，在右側窗口點擊右鍵，選擇“所有任務→組”項，在彈出窗口中的“組名”欄中輸入“vmmadmins”，選 擇“全局”和“安全組”項，點擊“確定”，創建名為“vmmadmins”的組。按照同樣的方法，創建名 為“vmmreadonlyadmins”的組。分別選擇“所有任務→用戶”項，創建兩個合適的用戶，例如名稱為“glkzt1”和“glkzt2”。之后將前一個用戶添加到“vmmadmins”組，將后一個賬戶添加到“vmmreadonlyadmins”組中。

在客戶端主機桌面上雙擊“Virtual Machine Manager”圖標，在彈出窗口中的“服務器名稱”欄中輸入VMM服務器的域名，例如“vnn.xxx.com:8100”。 因為在客戶端使用的是域管理員身份登錄，所以選擇“使用當前的Microsoft Windows會話標識”項，表示使用域管理員身份連接VMM服務器。當連接成功后，在VMM管理窗口左下角點擊“設置”項，在左側選擇“安全性→用戶角色”項，點擊工具欄上的“創建用戶角色”按鈕，在彈出窗口中的“名稱”欄中輸 入“vmmadmins”，點擊“下一步”，選擇“委派的管理員”項，在“下一步”窗口中點擊“添加”按鈕，導入上述創建的“vmmadmins”組。

在下一步的范圍窗口中選擇“所有主機”項，在下一步窗口中點擊“添加”按鈕，選 擇“vmm.xxx.com”主機，將其作為庫服務器，讓選定的用戶和組對其具有管理權限。點擊“完成”，創建用來委派的管理員組。點擊工具欄上的“創建用戶角色”按鈕，創建另外一個委派的管理員組。方法與上述基本相同，所不同的是，角色名稱是“vmmreadonlyadmins”，選擇的是上述創建的“vmmreadonlyadmins” 組，對應的是“只讀管理員”項。該類型的管理員只能查看對象信息而無法對其修改。

當添加了兩個角色組之后，在客戶端上打開VMM連接工具，選擇“指定憑據”項，輸入“xxx glkzt1”賬戶名和密碼，點擊“連接”按鈕，登錄到VMM管理器上，該賬戶擁有完全的管理權限，可以執行諸如創建服務，創建虛擬機，創建云等操作。對應的，使用“glkzt2”賬戶進行登錄，雖然可以連接到VMM服務器，但是只能擁有查看權限而無法執行任何相關的創建操作。