8.3 DRA 如何處理委託指定的範例

當助理管理員嘗試為 JSmith 使用者帳戶設定新密碼時，管理伺服器會尋找包含 JSmith 的所有 ActiveView。這個搜尋會尋找直接指定 JSmith、透過萬用字元規則，或透過群組成員資格的任何 ActiveView。如果 ActiveView 包含其它 ActiveView，管理伺服器也會搜尋這些額外的 ActiveView。管理伺服器會判斷這些 ActiveView 中的助理管理員是否具有重設使用者帳戶密碼權限。如果助理管理員具有重設使用者帳戶密碼權限，管理伺服器會重設 JSmith 的密碼。如果沒有此權限，管理伺服器會拒絕要求。

權限會定義助理管理員可以在您管理的網域或子樹狀結構中檢視、修改或建立之物件的內容。一個以上的 ActiveView 可以包含相同物件。此組態稱為重疊 ActiveView。

當 ActiveView 重疊時，您可以在相同物件上累積一組不同的權限。例如，如果一個 ActiveView 允許您將使用者帳戶新增至網域，而另一個 ActiveView 允許您從相同網域刪除使用者帳戶，則您可以在該網域中新增或刪除使用者帳戶。如此一來，您對於指定物件所具有的權限就是累計的。

請務必瞭解 ActiveView 可以重疊的方式，以及您可以在這些 ActiveView 中所包含物件上擁有增加的權限。請考量下圖中所示的 ActiveView 組態。

白色索引標籤會依據位置來識別 ActiveView，紐約市和休士頓。黑色索引標籤會依據其組織功能來識別 ActiveView，銷售和行銷。儲存格會顯示每個 ActiveView 中所包含的群組。

NYC_Sales 群組和 HOU_Sales 群組都會在銷售 ActiveView 中顯示。如果您具有銷售 ActiveView 中的權限，可以管理 NYC_Sales 和 HOU_Sales 群組的任何成員。如果您也有紐約市 ActiveView 中的權限，這些額外的權限會套用至 NYC_Marketing 群組。如此一來，權限會累積為 ActiveView 重疊。

重疊 ActiveView 可以提供強大且彈性的委託模型。但是，此功能可能也會產生意外的結果。請謹慎規劃您的 ActiveViews 以確保每個助理管理員都只有您想要讓其對於每個使用者帳戶、群組、OU、聯絡人或資源具備的權限。

多個 ActiveView 中的群組

在此範例中，NYC_Sales 群組出現在一個以上的 ActiveView。NYC_Sales 群組的成員出現在紐約市 ActiveView 中，因為群組名稱符合 NYC_* ActiveView 規則。群組也會在銷售 ActiveView 中，因為群組名稱符合 *_Sales ActiveView 規則。藉由在多個 ActiveView 中包含相同群組，您可以允許不同的助理管理員分別管理相同物件。

在多個 ActiveView 中使用權限

假設有一位助理管理員 JSmith，它具有紐約市 ActiveView 中的修改一般使用者內容權限。此第一個權限允許 JSmith 在使用者內容視窗的「一般」索引標籤上編輯所有內容。JSmith 具有銷售 ActiveView 中的修改使用者設定檔內容權限。此第二個權限允許 JSmith 在使用者內容視窗的「設定檔」索引標籤上編輯所有內容。

下圖指出 JSmith 對於每個群組所具有的權限。

JSmith 具有下列權限：

• NYC_* ActiveView 中的一般內容

• *_Sales ActiveView 中的設定檔內容

這些重疊 ActiveView 中的權限委託可讓 JSmith 修改 NYC_Sales 群組的「一般」和「設定檔」內容。因此，JSmith 獲得授與所有 ActiveView 中代表 NYC_Sales 群組的所有權限。