提升 AD 管理效率：权限委派的两次进化

“能不能只让 HR 改手机号，别让 TA 碰我的安全组？”“分公司技术员只想重置密码，却不想给他 Domain Admin？”这些看似朴素的诉求，在 Windows 原生 AD 里实现起来，往往是一场“ACL 马拉松”。

一、传统委派：够用，但不好用

Windows Server 自带的“委派控制向导”奠定了 AD 权限拆分的基础，也几乎是所有 IT 人第一次“下放权力”的起点：

1. 选 OU → 右键“委派控制”→ 添加用户/组

2. 勾选“重置密码”“创建用户”等常见任务，或手动指定对某类对象的读写属性

3. 向导结束，系统默默在 OU 的 ACL 里写下一长串 ACE（访问控制项）

这套机制的优点是原生、免费、无需额外安装；缺点也一目了然：

• 颗粒度粗：只能管到“对象”层面，比如“用户”或“组”，无法精确到“只能改手机不能改职位”。

• 可维护性差：ACL 分散在各个 OU，人员变动时得逐层翻找、逐条清理，稍不留神就留下后门。

• 审计靠“猜”：事件日志里出现“4662”ID，还得手动比对 GUID，才知道谁改了哪条属性。

• 跨域无力：多域/多林环境想复用一套委派模板，只能徒手复制，出错概率指数级上升。

于是，不少企业干脆“一把梭”——把 HR、Helpdesk 全加进 Account Operators，甚至 Domain Admins。安全与效率的天平，再次倒向“拍脑袋”。

二、细粒度委派：让“权”拆到字段级

“最小权限”喊了多年，真正落地缺的是“可视化”和“可收敛”。把 ACL 拆到“属性”级别，再配一张随时可收回的“角色清单”，是新一代 AD 管理工具的主打思路。思路并不神秘，核心仍是 Windows 原生就支持的“属性级权限”，只是用更友好的方式封装：

• 先定义角色——“Helpdesk-仅重置密码”“HR-修改员工属性”“分公司-管理本地电脑”。

• 再绑定范围——指定可操作的 OU、安全组、甚至域控制器站点。

• 最后给人——无论他是域内用户、跨林信任账户，还是临时外包，只需把角色“贴”上去即可生效。

角色即模板，模板即规范。人员调岗时，把旧角色一删、新角色一挂，权限瞬间“漂移”完成；系统每日自动比对“角色-ACL”差异，发现越权立即回滚，顺带生成一条审计记录。

三、收益：安全与效率不再互斥

• 最小权限可落地：权限从“组”拆到“属性”，误操作面直接收敛 90% 以上。

• 审计一键导出：谁、在什么时间、改了哪个字段、原值/新值分别是什么，可生成 Excel 直接甩给审计部。

• 跨域模板复用：总部定义一次角色，各地分公司导入即用，不再重复“委派向导”。

• 离职/调岗零死角：角色回收瞬间同步 ACL，杜绝“隐身权限”。

四、结语：从“向导”到“治理”

Windows 原生委派控制像一把“瑞士军刀”，功能全但操作细；细粒度角色平台则像“数控机床”，把刀头、转速、走刀路径全部提前编好程。IT 团队终于不用在“放权”与“安全”之间反复横跳——让合适的角色，在合适范围，做合适的事，AD 治理才算真正闭环。

毕竟，最好的 Domain Admin，就是永远不必把 Domain Admin 给出去。