活动目录权限委派|父域子域管理。环境：北京总公司，上海，深圳和广州三个分公司，均在单一域环境中，对各个公司划分站点，每个分公司都有DC，分公司通过专线与总公司相连。
现在想咨询一下，总公司的管理员如何对分公司的管理员进行权限委派，赋予多大的权限才能达到既能够减少总公司管理员的工作量，又能保证分公司的权限不能过大。想问一下有没有类似情况的案例。或是有什么好的建议。

回答：如果您不想分公司拥有太大权限。那么您需要做两方面的工作：
1、给分公司管理员委派dns，委派分公司计算机加入域权限。
2、写好操作规范，并对分公司管理员进行标准化操作培训。

委派的问题请参考
http://www.googlesyndicatedsearch.com/u/blogbus?hl=zh-CN&newwindow=1&ie=GB2312&q=site%3Agnaw0725.blogbus.com+%CE%AF%C5%C9
－－－gnaw0725

通过委派管理，可以为适当的用户和组指派一定范围的管理任务。可以为普通用户和组指派基本管理任务，而让 Domain Admins 和 Enterprise Admins 组的成员执行域范围和林范围的管理。通过委派管理，可以使组织内的组更多地控制他们的本地网络资源。还可以通过限制管理员组的成员，保护网络不受意外或恶意的损伤。

通过在域中创建组织单位并将特定组织单位的管理控制权委派给特定用户或组，可将管理控制权委派给域树的任何级别。

如果想确定要创建的组织单位，以及哪个组织单位应包含帐户或共享资源，请考虑您单位的结构。

具体的配置信息，您可以参考以下文章：
委派 Active Directory 管理的最佳做法
http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid1.mspx

管理委派最佳实践
https://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid4.mspx 

Active Directory 委派管理
http://technet2.microsoft.com/windowsserver/zh-chs/library/60096a04-8494-4551-bfd6-3aebadddc3fe2052.mspx?mfr=true

Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心