安装管理服务器后,您可以通过 Delegation and Configuration(委托和配置)客户端添加新的受管域和计算机。您还可以添加子树和受信任域,并为其配置域和 Exchange 访问帐户。要添加受管域和计算机,您必须具备相应权限,例如内置 Configure Servers and Domains(配置服务器和域)角色中所包含的权限。
注:添加完受管域后,确保这些域的帐户超速缓存刷新日程表是正确的。
要添加受管域或计算机:
导航到 Configuration Management(配置管理)> New Managed Domain(新建受管域)。
通过选择适用的单选按钮并提供域或计算机名称,指定要添加的组件:
Manage a domain(管理域)
如果要管理域的子树,请参见添加受管子树。
如果添加的是新域、域控制器已启用安全 LDAP 且您希望 DRA 使用 SSL 与域控制器通信,请选择 This domain is configured for LDAP over SSL(此域已配置为通过 SSL 的 LDAP)。有关更多信息,请参见配置 DRA 以运行安全 Active Directory。
Manage a computer(管理计算机)
完成配置后,请单击 Next(下一步)。
在 Domain access(域访问)选项卡上,指定您希望 DRA 用于访问此域或计算机的帐户身份凭证。默认情况下,DRA 将使用管理服务器服务帐户。
查看摘要,然后单击完成。
要开始管理此域或计算机中的对象,请刷新域配置。
对于每个受管域或子树,您可以指定访问该域要使用的帐户(而不是管理服务器服务帐户)。此备用帐户称为访问帐户。要配置访问帐户,您必须具备相应权限,例如内置 Configure Servers and Domains(配置服务器和域)角色中所包含的权限。
要指定成员服务器的访问帐户,您必须具有管理域成员所在域的许可权限。只有在域成员存在于可通过管理服务器访问的受管域中时,才能管理域成员。
要指定访问帐户:
导航到 Configuration Management(配置管理)> Managed Domains(受管域)节点。
右键单击要为其指定访问帐户的域或子树,然后单击属性。
在 Domain access (域访问)选项卡上,单击 Use the following account to access this domain(使用以下帐户访问此域)。
指定并确认此帐户的身份凭证,然后单击确定。
有关配置此最低特权帐户的信息,请参见最小特权 DRA 访问帐户。
对于 DRA 中的每个域,您可以使用 DRA 域访问帐户或单独的 Exchange 访问帐户管理 Exchange 对象。要配置 Exchange 访问帐户,您必须具备相应权限,例如内置 Configure Servers and Domains(配置服务器和域)角色中所包含的权限。
重要说明:Microsoft Server 将连接到 WinRM/WinRS 会话的并发用户数量限制为五个,将每个用户的壳层数量限制为五个,以确保针对 DRA 次服务器,将同一用户帐户限制为五个壳层。
要指定 Exchange 访问帐户:
导航到 Configuration Management(配置管理)> Managed Domains(受管域)节点。
右键单击要为其指定访问帐户的域或子树,然后单击属性。
在 Exchange access(Exchange 访问)选项卡上,单击 Use the following account to access all Exchange servers(使用以下帐户访问所有 Exchange 服务器)。
指定并确认此帐户的身份凭证,然后单击确定。
有关配置此最低特权帐户的信息,请参见。
安装管理服务器后,您可以添加来自特定 Microsoft Windows 域的受管和缺失的子树。要添加受管子树,您必须具备相应权限,例如内置 Configure Servers and Domains(配置服务器和域)角色中所包含的权限。
有关支持的 Microsoft Windows 版本的信息,请参见 DRA 管理服务器、Web 控制台和 REST 扩展要求。
通过管理 Windows 域的子树,您可以使用 DRA 来保护大型公司域中的部门或分区。
例如,您可以在 SOUTHWEST(西南)域中指定休斯顿子树,从而允许 DRA 仅安全地管理休斯顿 OU 及其子 OU 中包含的对象。这种灵活性允许您管理一个或多个子树,而无需整个域的管理许可权限。
注:
要确保指定帐户拥有管理此子树及执行增量帐户超速缓存刷新的许可权限,使用 Deleted Objects Utility(已删除对象实用程序)校验和委托相应许可权限。
添加完受管子树后,确保相应域的帐户超速缓存刷新日程表是正确的。
要添加受管子树:
导航到配置管理 > 新建受管域。
在 Domain or server(域或服务器)选项卡上,单击 Manage a domain(管理域),然后指定要管理的子树的域。
指定要管理的子树的域。
选择 Manage a subtree of this domain(管理此域的子树),然后单击 Next(下一步)。
在 Subtrees(子树)选项卡上,单击添加以指定要管理的子树。您可以指定多个子树。
在“访问帐户”选项卡上,指定您希望 DRA 用于访问此子树的帐户身份凭证。默认情况下,DRA 将使用管理服务器服务帐户。
查看摘要,然后单击完成。
要开始管理此子树中的对象,请刷新域配置。
受信任域允许在整个受管环境中的受管系统上进行用户鉴定。添加受信任域后,您可以指定域和 Exchange 访问帐户、安排超速缓存刷新以及在域的属性中执行其他操作,这一点与受管域相同。
要添加受信任域:
在 Configuration Management(配置管理)> Managed Domains(受管域)节点中,选择具有关联受信任域的受管域。
单击 Details(细节)窗格中的 Trusted domains(受信任域)。必须在 View(视图)菜单中开启 Details(细节)窗格。
右键单击受信任域,然后选择属性。
取消选中 Ignore this trusted domain(忽略此受信任域),然后应用更改。
注:添加受信任域将启动完全帐户超速缓存刷新,但是当您单击 Apply(应用)时,将通过确认提示通知您。