嵌套组
通过使用嵌套组,您可以提供全公司或全处范围内的资源访问,而只需进行最低限度的维护。将每个工作组帐户组都放在一个全公司范围内的资源组中并不是一个有效的解决方案,因为这需要创建和维护数量很大的成员身份链接。要使用嵌套组,管理员需要创建一系列帐户组,这些组分别代表公司管理的各个部门。
例如,顶级帐户组可以叫做“All Employees”,可以将其与一个能够授予资源和共享目录的访问权的资源组相关联。下一级可以包含代表公司主要部门的帐户组。此级别中的各个组都是“All Employees”的成员,分别关联着一个资源组,该资源组授予对共享目录和与它所代表的部门相应的资源的访问权。
在部门内,下一级帐户组可能代表“处”。处的共享资源可包括项目进度表、会议时间表、休假计划,或对整个处都适用的任何网络信息。处帐户组均是部门帐户组的成员。
在一个处内,可以将管理结构组织为具有任何所需特定级别的安全组。这些组可以是工作组帐户组,并且可以代表组织分层结构树中的叶节点。
在划分好此组分层结构后,您可以通过将某个新雇员放在工作组帐户组中,立即为其授予工作组、处、部门和整个公司的资源的访问权限。此系统支持最小访问权限原则,因为新雇员不能查看相邻工作组、其他处或其他部门的资源。
创建嵌套组
要创建嵌套组,请按照以下步骤操作:
1. | 在“Active Directory 用户和计算机”管理单元中,右键单击“vancouver.contoso.com”,然后单击“连接到域”。 |
2. | 单击“浏览”,然后单击“contoso.com”。单击两次“确定”以完成操作。 |
3. | 展开“contoso.com”,然后展开“Accounts”OU。 |
4. | 使用以下方法创建一个新组:右键单击“Engineering”,指向“新建”,然后单击“组”。键入“All Engineering”,然后单击“确定”。 |
5. | 右键单击“All Engineering”组,然后单击“属性”。 |
6. | 单击“成员”选项卡,然后单击“添加”。 |
7. | 在“输入对象名称来选择”框中,键入“Tools”,然后单击“确定”。 |
8. | 再次单击“确定”。现在已创建了一个嵌套组。 |
查找特定对象
在大型目录部署中,浏览一个内容广泛的对象列表以搜索特定对象是不切实际的。通常,查找符合某一条件的特定对象是比较有效的。在以下示例中,您将在“Contoso”域中查找登录名以“J”开头的所有用户。
要查找登录名以“J”开头的用户,请按照以下步骤操作:
1. | 单击选中“contoso.com”。右键单击“contoso.com”,然后单击“查找”。 |
2. | 单击“高级”选项卡。在“字段”下拉列表中,选择“用户”,然后单击“登录名”。 |
3. | 键入“J”作为“值”,然后单击“添加”。单击“开始查找”。结果应该与图 12 中显示的内容相似。  图 12. 使用高级目录搜索方法 |
4. | 关闭“查找用户、联系人及组”窗口。 |
筛选对象列表
通过筛选从目录返回的对象列表,您可以更有效地对目录进行管理。您可以使用筛选选项,限制返回到管理单元的对象类型。例如,您可以选择只查看用户和组,或者,您也可能希望创建一个更复杂的筛选器。如果某个 OU 的对象超过指定数量,则可使用“筛选器”功能限制在结果窗格中显示的对象个数。您可以使用“筛选器”功能配置该选项。
要创建一个仅用于显示用户的筛选器,请按照以下步骤操作:
1. | 在“Active Directory 用户和计算机”管理单元中,单击“Accounts”OU 下面的“Engineering”。 |
2. | 单击“查看”菜单,然后单击“筛选器选项”。 |
3. | 单击“仅显示下列类型的对象”单选按钮,选择“用户”,然后单击“确定”。 |
4. | 展开“Accounts”,然后单击“Engineering”以验证筛选结果。 |
5. | 删除此“筛选器”。 |
