8.3 DRA 如何处理委托指派的示例

当助理管理员尝试为 JSmith 用户帐户设置新口令时，管理服务器将查找包含 JSmith 的所有 ActiveView。此搜索将通过通配符规则或通过组成员资格查找直接指定 JSmith 的任何 ActiveView。如果 ActiveView 包含其他 ActiveView，则管理服务器还会搜索这些其他 ActiveView。管理服务器确定助理管理员是否在任何这些 ActiveView 中具有重设置用户帐户口令权限。如果助理管理员具有重设置用户帐户口令权限，则管理服务器将重设置 JSmith 的口令。如果助理管理员没有此权限，则管理服务器会拒绝该请求。

权限定义了助理管理员可以在受管域或子树中查看、修改或创建的对象的属性。多个 ActiveView 可以包含同一个对象。此配置称为重叠 ActiveView。

当 ActiveView 重叠时，您可以在同一对象上累积一组不同的权限。例如，如果一个 ActiveView 允许您将用户帐户添加到域，而另一个 ActiveView 允许您从同一个域中删除用户帐户，则可以在该域中添加或删除用户帐户。通过这种方式，您对给定对象的权限可以累积。

了解 ActiveView 如何重叠非常重要，您可以对 ActiveView 中包含的这些对象具有更多的权限。考虑下图所示的 ActiveView 配置。

白色标签按位置纽约市和休斯顿识别 ActiveView。黑色标签通过其组织功能销售和营销识别 ActiveView。单元格显示每个 ActiveView 中包含的组。

NYC_Sales 组和 HOU_Sales 组都呈现在销售 ActiveView 中。如果您在销售 ActiveView 中拥有权限，则可以管理 NYC_Sales 和 HOU_Sales 组的任何成员。如果您在纽约市 ActiveView 中也具有权限，则这些额外的权限适用于 NYC_Marketing 组。这样，当 ActiveView 重叠时，权限便会累积。

重叠的 ActiveView 可以提供强大、灵活的委托模型。但是，此功能也可能会产生意想不到的后果。仔细规划您的 ActiveView，以确保每个助理管理员对每个用户帐户、组、OU、联系人或资源仅具有您所希望的权限。

多个 ActiveView 中的组

在此示例中，NYC_Sales 组呈现在多个 ActiveView 中。NYC_Sales 组的成员呈现在纽约市 ActiveView 中，因为组名称与 NYC_* ActiveView 规则匹配。该组也位于销售 ActiveView 中，因为组名称与 *_Sales ActiveView 规则匹配。通过在多个 ActiveView 中包含相同的组，您可以允许不同的助理管理员以不同方式管理相同的对象。

使用多个 ActiveView 中的权限

假设有一个助理管理员 JSmith，他在纽约市 ActiveView 中具有修改常规用户属性权限。此第一个权限允许 JSmith 编辑用户属性窗口“常规”选项卡上的所有属性。JSmith 在销售 ActiveView 中具有修改用户配置文件属性权限。此第二个权限允许 JSmith 编辑用户属性窗口“配置文件”选项卡上的所有属性。

下图显示了 JSmith 对每个组的权限。

JSmith 具有以下权限：

• NYC_* ActiveView 中的常规属性

• *_Sales ActiveView 中的配置文件属性

这些重叠 ActiveView 中的权限委托允许 JSmith 修改 NYC_Sales 组的常规和配置文件属性。因此，JSmith 具有代表 NYC_Sales 组的所有 ActiveView 中授予的所有权限。