“委派”为网管减压

引言：在网络环境中，管理员级别的账户（例如域管理员等）往往拥有很高的权限，掌握着网络运行的控制大权。不过，对于复杂的网络来说，如果让管理员承担所有的管理任务，无疑会大大增加工作负荷。其实，在有些情况下，对于一些非核心的网络管理操作，管理员可以将其委派给其他的账户来完成。这样既减轻了管理员的工作压力，又提高了网络管理的灵活性。

在域环境中，利用组策略可以针对服务器和客户端进行统一配置，大大提高了网络管理的效率。在实际管理组策略时，域管理员有时需要将相关的权限委派给其他用户，这样可以提高管理的灵活性。

组策略的委派分为两个部分，其一是对组策略对象的创建以及编辑等操作，可以委派特定的用户或者组相关权限来完成。其二是指在特定的容器上，可以指派特定的用户具有连接GPO的权限。

对于前者，在DC控制器上启动组策略管理器后，在左侧选择“林→域→域名→组策略对象”项，选择特定的策略项，在右侧的“委派”面板点击“添加”，在弹出窗口中输入或者查找特定的用户或者组，点击“确定”，在打开窗口中的“权限”列

组策略的委派功能

表中可以为其指定权限，包括读取、编辑设置、修改安全性等。例如选择“编辑设置”项，点击“确定”按钮，完成权限的委派。也可以选择“组策略对象”节点，在右侧的“委派”面板中点击“添加”按钮，为选定的账户和组指派权限，让其可以管控整个组策略对象。

对于后者来说，可以在组策略窗口左侧选择特定的容器，在右侧的“委派”面板中点击“添加”按钮，选择目标账户或组，在弹出窗口的“权限”列表中提供了仅该容器，此容器和所有的子容器等项。之后在“委派”面板中选择该委派项，在“权限”列表中选择具体的权限，包括读取组策略结果数据，链接GPO、执行组策略建模分析等。

当设置完毕后，可以在客户端（例如Windows 7等）上运行组策略管理程序，将委派的权限分发到客户端，使其可以使用这些权限，对指定的组策略对象进行编辑，以及链接组策略到特定的容器中等操作。这样，就实现了组策略对象的分布式管理功能。

注意，要在域中的Windows 7等客户端上使用组策略管理工具，需要下载安装KB958830功能包。在“控制面板”中打开“打开或关闭Windows功能”程序项，在其中的“远程服务管理工具→功能管理工具”分支下选择“组策略管理工具”项。当该工具安装完毕后，利用其就可以在客户端上对域的组策略进行管理了。

在AD中委派权限

在活动目录中使用委派的权限，可以让指定的用户或组拥有一定的管理账户的权力。在DC上启动Active Directory用户和计算机程序，在窗口左侧选择某个OU（例如名为“xxx”），在右侧可以看到其中的账户信息。本例中针对该OU，执行权限委派操作。在其右键菜单上点击“委派控制”项，在向导界面中点击“下一步”按钮，在用户或组窗口中点击“添加”按钮，导入所需的用户或组。

在下一步窗口（如图1）中选择“委派下列常见任务”项，可以为其指派所需的权限，包括创建、删除和管理用户账户，重置用户密码并强制在下次登录时更改密码，读取所有用户信息，创建、删除和管理组，修改组成员身份，管理组策略链接，生成策略的结果集，创建、删除和管理inetOrgPerson账户，重置inetOrgPerson密码并强制在下次登录时更改密码，读取所有inetOrgPerson信息等。

图1 选择委派的任务

选择“创建自定义任务去委派”项，可以自定义委派的权限。这里选择前者中的“重置用户密码并强制在下次登录时更改密码”项。点击“完成”按钮，执行权限的委派操作。

之后运行“mmc”命令，在控制台窗口中点击菜单“文件→添加/删除管理单元”项，在打开窗口中的“可用的管理单元”列表中选择“Active Directory用户和计算机”项，点击“添加”按钮，将其导入到控制台中。在左侧选择名为“xxx”的OU项，在其右键菜单上点击“从这里创建窗口”项，为其单独打开管理窗口。在该OU的右键菜单上点击“新任务版视图”项，在向导界面中依次点击“下一步”，采用默认的配置。

点击“完成”，在新任务向导界面中依次点击“下一步”，在菜单命令窗口中的“可用命令”栏提供了很多命令，这里选择“重置密码”项，依次点击“下一步”，为其设置任务名和描述信息，选择外观图标，点击“完成”，创建所需的任务。

这样，就创建好了所需的自定义控制台。点击“查看→自定义”项，在弹出窗口中可以对界面进行深入的调整，例如取消控制台树、标准菜单、标准工具栏、状态栏、任务栏导航选项卡、操作窗格菜单、工具栏等项目的选择状态，让控制界面更加简单。

点击菜单“文件→选项”项，在弹出窗口中的“控制台模式”列表中选择“用户模式→完全访问”项，点击“确定”保存配置信息。点击“文件→保存”项，将其保存为独立的文件，后缀为“.msc”。将该文件复制到域中对应的客户机上，以委派的账户身份登录并运行该程序，就会对指定的OU中的账户进行管理，在本例中只能执行重置密码操作，而无法执行其他的操作。

委派证书管理

使用证书，可以实现认证和加密的功能。为了提高管理的灵活性，可以视情况为指定的用户委派权限，允许其对证书进行管理。在DC上打开证书颁发结构控制台，在左侧选择证书服务器名称节点，在右键菜单上点击“属性”项，在属性窗口（如图2）的“安全”面板中可以看到，在默认情况下，Authenticated Users组具有请求证书的权限，对于Domain Admins，Enterprise Admins以及Administrators组来说，具有颁发和管理证书，管理CA服务的权限。您可以根据实际情况，将其他的账户或组添加进来，委派其拥有颁发和管理证书的权限。

点击“添加”按钮，导入目标账户或组，之后在“允许”列中选择“颁发和管理证书”项，为其委派权限。此外，在“证书管理器”面板中选择“限制证书管理员”项，在下面显示所有拥有证书管理权限的所有用户和组信息。在默认情况下，拥有对全部证书模板拥有管理权。点击“添加”，在证书模板窗口中选择合适的模板，并添加到“证书模板”列表中。选择“<全部>”项，点击“删除”，将其删除。这样，就可以限制上述账户或组的权限，让其只能管理指定的证书。对于选定的证书模板，也可以控制它的访问权限，在默认情况下，允许Everyone组对其访问。

图2 选择管理证书的用户

图3 申请证书向导界面

在“权限”列表右侧点击“添加”按钮，可以添加所需的账户或则，允许访问选定的证书。选择“删除”按钮，可以删除选定的账户或组。点击“拒绝”按钮，可以拒绝选定的用户对证书的访问权限。再次打开根节点属性窗口，在“策略模块”面板中点击“属性”，在弹出窗口中选择“将证书请求设置为挂起状态，管理员必须明确的颁发证书”项，点击“应用”按钮保存配置信息。在根节点的右键菜单上点击“所有任务→停止服务”项，停止证书服务。之后点击工具栏上的启动按钮，再次启动该服务，激活以上设置操作。

之后在域中某台服务器上执行“mmc”命令，在控制台中点击菜单“文件→添加/删除管理单元”项，在列表中选择“证书”项，点击“添加”按钮，选择“计算机账户”，点击“完成”按钮，完成添加操作。在控制台左侧选择“证书→个人”项，在右键菜单上点击“所有任务→申请新证书”项，在向导界面（如图3）中选择“Active Directory 注册策略”项，点击“下一步”按钮，选择某个模板，点击“注册”按钮，在证书注册窗口中显示其状态为“注册暂停”，这就要求证书管理员明确颁发操作方可。

在本主机上安装证书颁发结构管理工具，在管理工具菜单中选择“证书颁发机构”程序项，按下“Shift”键的同时在其右键菜单上点击“以其他用户身份运行”项，输入上述添加为证书管理员的账户名和密码，跳过系统警告信息，在证书颁发机构窗口根节点的右键菜单上点击“重新定位证书颁发机构”项，在弹出窗口中选择“另一台计算机”项，点击“浏览”，选择 DC域控制器。点击“确定”，执行加载证书颁发机构操作。完毕后选择“根节点→挂起的申请”项，在右侧选择刚才申请的证书，在右键菜单上点击“所有任务→颁发”项，完成证书的颁发操作。

设置DNS委派

DNS是基于分布式的结构运作的，可以通过委派加以实现。利用委派功能，可以将不同的域名分配到不同的DNS服务器上。

例如在域环境中存在两台DNS服务器，在第一台服务器上打开DNS管理器，在其左侧选择“DNS→DNS主机名→正向查找区域”项，在其中选择某个查找区域（例如“xxx.com”），在右侧可以看到“www”、“mail”等记录项。在该区域项目的右键菜单上点击“创建委派”项，在向导界面（如图4）中点击“下一步”，在受委派域名窗口中输入受委派的域名（例如“kaifa”），在下一步的“名称服务器”窗口中点击“添加”按钮，输入第二台DNS服务器的域名（例如“dnssrv2@xxx.com”），点击“解析”按钮，获得其IP地址。

图4 委派向导界面

之后点击“完成”，完成委派操作。在第二台DNS服务器上打开DNS管理器，在其中需要承接委派。在窗口左侧选择“DNS→DNS主机名→正向查找区域”项，在右键菜单上点击“新建区域”项，在向导窗口中选择“主要区域”项，点击“下一步”，在“区域名称”栏中输入上述委派的区域名称，例如“kaifa.xxx.com”。依次点击“下一步”，完成区域创建操作。在窗口左侧选择“DNS→DNS主机名→正向查找区域→kaifa.xxx.com”项，在其右键菜单上点击“新建主机（A或AAAA）”项，在新建主机窗口创建一条A记录，例如在“名称”栏中输入“www”，在“IP地址”栏中输入合适的地址。点击“添加主机”，完成添加操作。这样就完成了和委派相关的操作。

在域中的客户机上打开CMD窗口，执行“nslookup”命令，根据返回信息，可以看到当前的DNS主机为上述第一台DNS服务器。在命令提示符下输入“www.kaifa.xxx.com”，回车后可以看到相关的查询信息，在“非权威应答”栏中显示第二台DNS的IP地址，这说明域名解析是成功的，在其中发挥作用的就是DNS委派功能。

实现AD RMS的委派管理

使用RMS服务，可以有效提高文档的安全性。当在RMS服务器上安装好RMS服务后，必须重启系统，才可以对其进行管理。点击“Win+R”键，执行“lusrmgr.msc”程序，在账户管理窗口左侧选择“组”项，在右侧双击“Ad RMS Enterprise Administrators”组，在其属性窗口中点击“添加”按钮，添加所需的域账户，使其拥有ADRMS的管理权限。之后在管理工具菜单中点击“Active Directory Rights Management Services”项，在默认情况下，系统会使用管理员权限连接到AD RMS服务。

此外，还可以委派其他账户来连接和管理该服务。在ADRMS管理窗口左侧选择根节点，在右键菜单上点击“添加群集”项，在弹出窗口中选择“本地计算机”项，选择“连接身份”项，在“用户名”栏中输入上述账户名，输入密码，点击“确定”按钮，可以看到该账户也可以连接到AD RMS服务上，并对其进行管理。这样，就实现了AD RMS的管理委派功能。

SCVMM的委派管理

利用SCVMM这一工具，可以对虚拟机进行集中管控。要实现SCVMM委派管理，需要满足两个条件，其一是在客户端（例如Windows主机）上安装SCVMM管理工具，其二需要创建相应的安全组以及用户。这样，才可以在VMM服务器上实现委派的管理。在Windows 7客户端放入SCVMM安装光盘，运行SCVMM安装程序，在安装界面中点击“安装”链接，在选择要安装的功能窗口中选择“VMM控制台”项，依次点击“下一步”按钮，在端口设置窗口中可以更改管理员控制台端口，默认为8100。之后完成VMM控制台的安装操作。

如果需要的话，可以按照同样的方法，在多台客户端上分别安装VMM控制台，实现灵活的控制操作。在DC控制器上打开Active Directory用户和计算机窗口，在左侧窗口选择“Users”容器，在右侧窗口点击右键，选择“所有任务→组”项，在弹出窗口中的“组名”栏中输入“vmmadmins”，选 择“全局”和“安全组”项，点击“确定”，创建名为“vmmadmins”的组。按照同样的方法，创建名 为“vmmreadonlyadmins”的组。分别选择“所有任务→用户”项，创建两个合适的用户，例如名称为“glkzt1”和“glkzt2”。之后将前一个用户添加到“vmmadmins”组，将后一个账户添加到“vmmreadonlyadmins”组中。

在客户端主机桌面上双击“Virtual Machine Manager”图标，在弹出窗口中的“服务器名称”栏中输入VMM服务器的域名，例如“vnn.xxx.com:8100”。 因为在客户端使用的是域管理员身份登录，所以选择“使用当前的Microsoft Windows会话标识”项，表示使用域管理员身份连接VMM服务器。当连接成功后，在VMM管理窗口左下角点击“设置”项，在左侧选择“安全性→用户角色”项，点击工具栏上的“创建用户角色”按钮，在弹出窗口中的“名称”栏中输 入“vmmadmins”，点击“下一步”，选择“委派的管理员”项，在“下一步”窗口中点击“添加”按钮，导入上述创建的“vmmadmins”组。

在下一步的范围窗口中选择“所有主机”项，在下一步窗口中点击“添加”按钮，选 择“vmm.xxx.com”主机，将其作为库服务器，让选定的用户和组对其具有管理权限。点击“完成”，创建用来委派的管理员组。点击工具栏上的“创建用户角色”按钮，创建另外一个委派的管理员组。方法与上述基本相同，所不同的是，角色名称是“vmmreadonlyadmins”，选择的是上述创建的“vmmreadonlyadmins” 组，对应的是“只读管理员”项。该类型的管理员只能查看对象信息而无法对其修改。

当添加了两个角色组之后，在客户端上打开VMM连接工具，选择“指定凭据”项，输入“xxx glkzt1”账户名和密码，点击“连接”按钮，登录到VMM管理器上，该账户拥有完全的管理权限，可以执行诸如创建服务，创建虚拟机，创建云等操作。对应的，使用“glkzt2”账户进行登录，虽然可以连接到VMM服务器，但是只能拥有查看权限而无法执行任何相关的创建操作。