您可以助理管理員身分使用 DRA 來管理群組並修改群組內容。群組可讓您提供特定許可給一組定義的使用者帳戶。群組可讓您控制使用者帳戶,可在任何網域中存取的是哪些資料及資源。
您可以管理任何類型及範圍的群組。例如,您可以巢狀群組,讓一個群組可以從另一個群組繼承許可。您也可以從信任網域將群組新增至管理的網域中的另一個群組,或管理暫時群組指定,有效地控制群組成員資格存取網域。
若要深入瞭解群組管理,請參閱下列主題:
本節將引導您瞭解如何透過「委託和組態」主控台的「帳戶和資源管理」節點管理群組。利用適當權限,您可以執行各種群組管理任務,例如修改群組成員。如果您選取多個群組,可以在一個操作中執行選取的任務,例如刪除、移動或將成員新增至群組。任務功能表會指出您在選取單一或多個群組時可以執行哪些任務。
您可以將使用者帳戶、聯絡人及電腦新增至受管理的群組。
附註:此任務會將多個帳戶新增至選取的群組。您可以將單一帳戶新增至群組,方法是選取適當的帳戶然後按一下「任務」功能表上的「新增至群組」。
如果將帳戶新增至另一個群組會增加您的帳戶權限,則 DRA 不允許您新增帳戶。
您可以將群組新增至另一個受管理群組來巢狀群組。當群組是另一個群組中的巢狀群組時,子群組可以繼承父群組中的許可。
附註:如果將群組新增至另一個群組會增加您的來源群組權限,則 DRA 不允許您新增群組。
您可以修改本機和全域群組的內容。您擁有的權限會決定您在管理的網域,或受管理子樹狀結構中,可以修改的群組內容。如果您已安裝 Exchange 並啟用 Microsoft Exchange 支援,在管理群組時,即可修改配送清單。
您可以在管理的網域或受管理子樹狀結構中建立群組。您可以修改新群組的內容,例如群組成員。
附註:
貴公司可能有透過規則強制執行的命名慣例,這會決定您可以指定給新群組的名稱。
依預設,DRA 會將新的群組放在管理的網域的使用者 OU 中。
您可以從受管理群組中新增或移除使用者帳戶、聯絡人、電腦或其他群組。DRA 僅允許您移除外部安全性主體。您也可以檢視或修改現有群組成員的內容,除了外部安全性主體。
當您從群組移除成員時,DRA 不會刪除物件。當您將成員新增至群組時,必須有權限可修改您想要新增的物件。
附註:您無法將使用者帳戶或群組新增至任何 Windows 特別群組 (Administrators、Account Operators、Backup Operators 或 Server Operators),除非您是 Windows 管理員或該特定特別群組的成員。
您可以新增群組,或從管理的網域或受管理子樹狀結構中的其他群組移除群組。您也可以檢視或修改此群組所屬現有群組的內容。
您可以設定群組成員資格的 Active Directory 安全性許可。這些許可會指定哪些成員可以使用 Microsoft Outlook 來檢視 (讀取) 及修改 (寫入) 群組成員資格。這些設定可讓您更有效地保護配送清單及您環境中的安全性群組。您無法修改繼承的安全性許可。
附註:當您管理群組成員資格安全性時,停用的許可表示繼承的許可。
您可以設定任何 Microsoft Windows 分發或安全性群組的擁有權。您可以授予群組擁有權許可給使用者帳戶、群組或聯絡人。授予群組擁有權會允許指定的使用者帳戶、群組或聯絡人修改此群組的成員資格。
附註:當 Microsoft Exchange 伺服器隱藏群組成員資格時,DRA 會停用「管理員可以更新會員清單」核取方塊。若要啟用此核取方塊,請按一下「群組內容」視窗 Exchange 索引標籤上的「公開群組成員資格」。
您可以在管理的網域中複製本機群組及全域群組。複製群組會建立類型和屬性與原始群組相同的新群組。DRA 也會嘗試從原始群組將所有成員新增至新的群組。
藉由複製群組,您可以根據具有相似內容的其他群組快速建立群組。當您複製群組時,DRA 會使用選取群組的值填入複製群組精靈。您也可以修改新群組的內容。
附註:
貴公司可能有透過規則強制執行的命名慣例,這會決定您可以指定給新群組的名稱。
依預設,DRA 會將新的群組放在管理的網域的使用者 OU 中。
您可以刪除管理的網域或受管理子樹狀結構中的本機和全域群組。如果該網域的資源回收筒已停用,則刪除群組會將群組從 Active Directory 中永久移除。如果該網域的資源回收筒已啟用,刪除群組會將群組移動到資源回收筒並停用群組內容。
如需關於資源回收筒的詳細資訊,請參閱 管理資源回收筒。
警告:當您建立群組時,Microsoft Windows 會將 Security Identifier (SID) 指定給該群組。SID 不會從群組名稱中產生。Microsoft Windows 會使用 SID 來記錄每個資源在存取控制清單 (ACL) 中的權限。如果您刪除群組,即無法使用相同名稱建立新的群組,來傳回該群組的存取功能。
您可以將群組移至管理的網域或受管理子樹狀結構中的另一個容器,例如 OU。
您可以在配送清單中公開管理的網域或受管理子樹狀結構中群組的群組成員資格。
您可以在配送清單中隱藏管理的網域或受管理子樹狀結構中群組的群組成員資格。
臨時群組指派讓您可針對僅在特定的一段時間,需要群組成員的使用者管理群組成員資格。本節將引導您瞭解如何在「委託和組態」主控台的「帳戶和資源管理」下方管理臨時群組指派。只要擁有適當權限,您就可以執行如建立新的臨時群組指派或移除過期的臨時群組指派等任務。
針對助理管理員擁有新增或移除成員權限的群組,助理管理員只能檢視臨時群組指派。
當臨時群組指派處於作用中狀態時,您不能變更相關聯的群組或修改使用者清單。如果您想要修改這些項目,必須取消臨時群組指派。
您可以管理臨時群組指派內容或儲存的過期臨時群組指派。
如果您想要重新編程臨時群組指派,請在指派的「內容」中變更排程,然後儲存設定。
您可以在主要和次要管理伺服器上建立臨時群組指派。
根據預設,除非您選取「保留此臨時群組指派,以供日後使用」選項,否則當臨時群組指派過期時,系統會在七天後予以刪除。若要變更此保留期,請以滑鼠右鍵按一下「我的所有受管理物件」下方的「臨時群組指派」節點、選取「內容」,然後修改臨時群組指派的保留天數。
您可以在主要和次要管理伺服器上新增或移除臨時群組指派中的使用者帳戶。
附註:您僅能管理臨時群組指派尚未作用中的使用者帳戶。
您可以在主要和次要管理伺服器上刪除任何臨時群組指派。
臨時群組指派可讓您針對在特定期間內需要群組成員資格的使用者管理群組成員資格。在 Web 主控台中,您可以從 DRA 主要和次要伺服器建立和管理指派內容。然而,您可以對現有指派採取的動作完全取決於指派的狀態。
助理管理員可以檢視的臨時群組指派,只限 ActiveView 指派賦予他們修改權限 (如新增或移除群組成員) 的群組。
若要在 Web 主控台中管理臨時群組指派,請導覽至「任務 > 臨時群組指派」。
可以執行以下動作:
在搜尋現有臨時群組指派 (TGA) 時,系統會根據指派的狀態將其列示在結果中,其狀態如下:
等待中︰ TGA 已安排在未來啟動。您可以執行取消、刪除及重新排程等操作。
作用中: TGA 已啟動,而且已將適當成員新增到群組。您可以執行取消和刪除等操作。
作用時發生錯誤: TGA 已啟動,不過無法將所有適當成員新增到群組。您可以執行取消和刪除等操作。
已完成: TGA 已過期,而且已移除群組中所有適當的成員。您可以執行刪除和重新排程等操作。
完成時發生錯誤: TGA 已過期,不過無法移除群組中的所有適當成員。您可以執行刪除和重新排程等操作。
已取消︰ 使用者已取消 TGA,而且已移除群組中的所有適當成員。您可以執行刪除和重新排程等操作。
取消時發生錯誤: 使用者已取消 TGA,不過無法移除群組中的所有適當成員。您可以執行刪除和重新排程等操作。
錯誤︰ TGA 無法新增或移除所有成員。您可以執行刪除和重新排程等操作。
您可以根據這些狀態和其他準則過濾結果,包括指派名稱、目標群組、期間及建立指派的管理員。
您可以使用有權修改及指定網域控制器的群組建立臨時群組指派。除非您選取保留臨時群組指派供未來使用的選項,否則當臨時群組指派過期時,DRA 會在七天後自動刪除。
您可以檢視或修改臨時群組指派建立時定義的任何臨時群組指派內容。搜尋臨時群組指派後,請選取指派來檢視或修改內容。
如果您想要重新排程臨時群組指派,請在指派的「內容」中變更排程,然後儲存變更。如果指派處於作用中狀態,您只能變更結束日期。
重要:當臨時群組指派處於作用中狀態時,您不能變更相關聯的群組或修改使用者清單。如果您想要修改這些項目,必須先取消指派。
您只能取消處於以下任一狀態的臨時群組指派:
作用中
作用時發生錯誤
等待中
您可以選取多個臨時群組指派,再予以刪除。如果選取的臨時群組指派處於作用中、作用時發生錯誤或等待中狀態,系統也會啟用「取消」選項。