作为助理管理员,您可以使用 DRA 管理组和修改组属性。通过组,您可以为定义的一组用户帐户授予特定许可权限。组可让您控制用户帐户可以在任何域中访问的数据和资源。
您可以管理任何类型和范围的组。例如,您可以嵌套组,从而允许一个组可以继承另一个组的许可权限。您还可以通过将受信任域中的组添加到受管域中的其他组,以及管理 Temporary Group Assignments(临时组指派)来有效控制跨域的组成员资格。
要了解有关管理组的更多信息,请参见以下主题:
本节将指导您在 Delegation and Configuration(委托和配置)控制台中通过 Account and Resource Management(帐户和资源管理)节点管理组。通过相应的权限,您可以执行各种组管理任务,例如修改组成员资格。如果选择多个组,则可以在一个操作中执行所选任务,例如删除、移动或向组添加成员。Tasks(任务)菜单指示在选择单个或多个组时可以执行的任务。
您可以将用户帐户、联系人和计算机添加到受管组。
注:此任务会将多个帐户添加到所选组。您可以通过选择相应的帐户,然后单击 Tasks(任务)菜单上的 Add to groups(添加到组),将单个帐户添加到组中。
如果将帐户添加到其他组会提高您对该帐户的权限,则 DRA 不允许您添加该帐户。
您可以通过将组添加到另一个受管组来嵌套组。当组嵌套在另一个组中时,子组可以从父组继承许可权限
注:如果将组添加到其他组会提高您对源组的权限,则 DRA 不允许您添加该组。
您可以修改本地组和全局组的属性。您拥有的权限决定了您可以为受管域或受管子树中的组修改的属性。如果已安装 Exchange 并已启用 Microsoft Exchange 支持,则可以在管理组时修改通讯组列表属性。
您可以在受管域或受管子树中创建组。您还可以修改新组的属性,例如组成员。
注:
您的公司可能具有通过策略强制执行的命名约定,该约定将确定您可以指派给新组的名称。
默认情况下,DRA 会将新组放在受管域的用户 OU 中。
您可以在受管组中添加或去除用户帐户、联系人、计算机或其他组。DRA 允许您仅去除外部安全主体。您还可以查看或修改现有组成员的属性,但外部安全主体除外。
从组中去除成员时,DRA 不会删除对象。向组中添加成员时,您必须具有能够修改要添加的对象的权限。
注:除非您是 Windows 管理员或该特定特殊组的成员,否则无法将用户帐户或组添加到任何 Windows 特殊组(管理员、帐户操作员、备份操作员或服务器操作员)。
您可以在受管域或受管子树的其他组中添加或去除组。您还可以查看或修改此组所属的现有组的属性。
您可以为组成员资格设置 Active Directory 安全许可权限。这些许可权限指定可以使用 Microsoft Outlook 查看(读取)和修改(写入)组成员资格的用户。通过这些设置,您可以更有效地保护环境中的分发列表和安全组。您无法修改继承的安全许可权限。
注:管理组成员资格安全性时,禁用的许可权限可能表示继承的许可权限。
您可以设置任何 Microsoft Windows 分发或安全组的所有权。您可以将组所有权许可权限授予用户帐户、组或联系人。授予组所有权允许指定的用户帐户、组或联系人修改此组的成员资格。
注:当从 Microsoft Exchange 服务器隐藏组成员资格时,DRA 会禁用 Manager can update membership list(管理员可以更新成员资格列表)复选框。要启用此复选框,请单击 Group Properties(组属性)窗口的 "Exchange" 选项卡上的 Expose Group Membership(公开组成员资格)。
您可以克隆受管域中的本地组和全局组。克隆组会创建类型和属性与原始组相同的新组。DRA 还会尝试将原始组中的所有成员添加到新组。
通过克隆组,您可以基于具有类似属性的其他组快速创建组。克隆组时,DRA 会使用所选组中的值填充 Clone Group Wizard(克隆组向导)。您还可以修改新组的属性。
注:
您的公司可能具有通过策略强制执行的命名约定,该约定将确定您可以指派给新组的名称。
默认情况下,DRA 会将新组放在受管域的用户 OU 中。
您可以删除受管域或受管子树中的本地组和全局组。如果为该域禁用了回收站,则删除组将从 Active Directory 中永久去除该组。如果为该域启用了回收站,则删除组会将该组移动到回收站并禁用组属性。
有关回收站的更多信息,请参见管理回收站。
警告:创建组时,Microsoft Windows 会为该组指派安全标识符 (SID)。不会从组名称生成 SID。Microsoft Windows 在访问控制列表 (ACL) 中使用 SID 记录每个资源的特权。如果删除组,则无法通过创建具有相同名称的新组来恢复该组的访问权限。
您可以将组移动到受管域或受管子树中的另一个容器,例如 OU。
您可以在受管域或受管子树的组分发列表中公开组成员资格。
您可以在受管域或受管子树的组分发列表中隐藏组成员资格。
通过“临时组指派”,您可以管理仅在特定时间段内需要组成员资格的用户的组成员资格。本节将指导您在 Delegation and Configuration(委托和配置)控制台的 Account and Resource Management(帐户和资源管理)下管理临时组指派。通过相应的权限,您可以执行各种任务,例如创建临时组指派或去除失效的临时组指派。
助理管理员只能查看助理管理员有权添加或去除成员的组的临时组指派。
在临时组指派处于“活动”状态时,无法更改关联的组或修改用户列表。如果要修改这些项目,则必须取消临时组指派。
您可以管理临时组指派或已保存的失效临时组指派的属性。
如果要重安排临时组指派,请在指派的属性中更改日程表,然后保存更改。
您可以在主管理服务器和次管理服务器上创建临时组指派。
默认情况下,当临时组指派失效时,除非已选择保留此临时组指派以供将来使用选项,否则它将在 7 天后删除。要更改此保留期限,请右键单击“我的所有受管对象”下的临时组指派节点,选择属性,然后修改要保留临时组指派的天数。
您可以在主管理服务器和次管理服务器上的临时组指派中添加或去除用户帐户。
注:您只能管理尚未处于活动状态的临时组指派的用户帐户。
您可以删除主管理服务器和次管理服务器上的任何临时组指派。
通过“临时组指派”,您可以管理在特定时间段内需要组成员资格的用户的组成员资格。在 Web 控制台中,可以从 DRA 主服务器和次服务器创建和管理指派。但是,可以对现有指派执行的操作因指派所处的状态而异。
助理管理员只能查看其有权通过其 ActiveView 指派进行修改的组的临时组指派,例如添加或去除该组的成员。
要在 Web 控制台中管理临时组指派,请导航至任务 > 临时组指派。
可以执行以下操作:
当您搜索现有的临时组指派 (TGA) 时,它们会根据指派的状态在结果中列出,其中可能包括以下状态:
待发: TGA 已安排在未来启动。您可以执行取消、删除和重安排操作。
活动: TGA 已启动并向组中添加了适用的成员。您可以执行取消和删除操作。
已激活,出错: TGA 已启动,但未能将所有适用的成员添加到组中。您可以执行取消和删除操作。
已完成: TGA 已失效,并从组中去除了所有适用的成员。您可以执行删除和重安排操作。
已完成,出错: TGA 已失效,但未能从组中去除所有适用的成员。您可以执行删除和重安排操作。
已取消: TGA 已由用户取消,并从组中去除了所有适用的成员。您可以执行删除和重安排操作。
已取消,出错: TGA 已由用户取消,但未能从组中去除所有适用的成员。您可以执行删除和重安排操作。
错误: TGA 未能添加或去除所有成员。您可以执行删除和重安排操作。
可以根据这些状态和其他准则(包括指派名称、目标组、持续时间和创建指派的管理员)过滤结果。
您可以使用有权修改并指定域控制器的组来创建临时组指派。当临时组指派失效时,DRA 会在 7 天后自动将其删除,除非选择了保留临时组指派以供将来使用的选项。
您可以查看或修改在创建临时组指派时定义的任何临时组指派。搜索临时组指派后,选择要查看或修改其属性的指派。
如果要重安排临时组指派,请在指派的属性中更改日程表,然后保存更改。如果指派处于“活动”状态,则只能更改结束日期。
重要说明:在临时组指派处于“活动”状态时,无法更改关联的组或修改用户列表。如果要修改这些项目,则必须先取消该指派。
仅当临时组指派处于以下状态之一时,才可以取消它:
活动
已激活,出错
待发
可以选择多个临时组指派并将其删除。如果所选的临时组指派处于“活动”、“已激活,出错”或“待发”状态,则还将启用取消选项。