星期三, 7月 10, 2013

Windows Server Delegate Control


在一人 IT 的環境下,Administrator 只有一人,所有管理工作只會集中一人負責,但如果公司架構大,電腦用戶及電腦眾多,就要委派其他人幫忙管理,他們不需要擁有 Administrator 所有權力,基本管理用戶就可以。

執行 Active Directory Users and Computer

在所在的domain處 Right Click,選取 Delegate Control 。


加入要設定的 User 或 Group, 方便管理及設定,最佳的做法是增加一個 Group,然後針對這個 Group 做設定,就不用對個別用戶設定。


選取 Delegate the following common tasks

按需要委派要管理的工作,一般都是管理用戶的密碼設定及把電腦加入域,所以可以只選擇以下兩項工作:

- Reset User Passwords and force password change at next logon
- Join a computer to the domain


設定用戶可以 Join a computer to the domain 後,雖然前一編文章設定只有 Admisitrators Group 可以把電腦加入域,但設定後的用戶也可以 join computer to Domain。而且只可以刪除自己加入的電腦,不能刪除其他電腦。

Create a custom task to delegate 可以仔細設定各項管理工作,一般情況下 common tasks 已可以委派基本管理工作。

Modify the membership of a group 雖然可以更改用戶的 group,但不可以把用戶加入系統的 Group,以免用戶把自己加入 Administrators Group 而擁有管理員權力。


要取消 Delegate control,可以嘗試把用戶或群組從 Properties 移除,這方法是自己嘗試出來的,不知會否影響用戶的其他設定。


沒有留言: