Delegated Administrator 控制台允许您将管理任务委托给一种新职责—服务提供商管理员 (Service Provider Administrator, SPA),SPA 可以创建和管理新的从属组织类型。
SPA 的权限范围介于顶级管理员 (Top-Level Administrator, TLA) 与组织管理员 (Organization Administrator, OA) 的权限范围之间。
具有了 SPA 权限,您就可以创建三层管理结构,如第 1 章,Delegated Administrator 概述中的三层结构所述。
这种二级委托可以使得对大型 LDAP 目录所支持的大型客户库的管理容易一些。例如,ISP 可以向数百或数千家小公司提供服务,每家小公司都需要具有各自的组织。每天都可能需要向目录中添加许多新组织。
如果您使用了两层结构,那么 TLA 必须创建所有这些新组织。现在,TLA 就可以将这些任务委托给 SPA。
SPA 可以为新客户创建从属组织并指派 OA 来管理这些组织中的用户。
图 A–1 显示了一个样例三层组织结构的逻辑视图。
图 A–1 中的示例显示了一个提供商组织。但实际上目录中可以包含多个提供商组织。
在此示例中,管理任务的委托方式如下:
SPA 有权管理 VIS 提供商组织及其包含的所有组织。SPA 职责被指派给 DEF 组织中的 user1。
名为 OA1 的组织管理员可管理共享组织 DEF。此 OA 职责被指派给 DEF 组织中的 user2。
OA2 可管理共享组织 HIJ。此 OA 职责被指派给 HIJ 组织中的 user4。
OA3 可管理完整组织 SESTA。此 OA 职责被指派给 SESTA 组织中的 user1。
SESTA 是一个完整的组织,具有其自己的唯一名称空间。SESTA(在 sesta.com 域中)中的 user1 具有唯一用户 ID。
有关提供商和从属组织的定义,请参见由服务提供商管理员管理的组织。
在 SPA 有权管理的提供商组织中创建、删除和修改共享组织和完整组织。
在图 A–1 显示的示例中,VIS 提供商组织的 SPA 可以
修改或删除 DEF、HIJ 和 SESTA 组织
在 VIS 提供商组织下创建其他组织。
在提供商组织下的任意组织中创建、删除和修改用户。
在提供商组织下的任意组织中创建、删除和修改组。
在提供商组织下的任意组织中创建、删除和修改日历资源。
将 OA 职责指派给用户。
例如,在图 A–1 显示的样例组织中,SPA 可以将 OA 职责指派给 SESTA 组织中的 user2。这样,user2 就可以管理 SESTA 组织中的用户。
SPA 还可以撤消用户的 OA 职责。
将 SPA 职责指派给提供商组织下的其他合法用户(以及撤消 SPA 职责)。
将服务包分配给各个组织。
有关服务包的信息,请参见第 1 章,Delegated Administrator 概述中的服务包。
SPA 可以将指定类型的服务包分配给一个组织并确定可以在该组织中使用的每种包的最大数量。
例如,SPA 可以分配以下服务包:
在 DEF 组织中:
1,000 个 gold 包 500 个 platinum 包 |
在 HIJ 组织中:
2,500 个 topaz 包 500 个 platinum 包 500 个 emerald 包 1,000 个 ruby 包 |
在 SESTA 组织中:
2,000 个 silver 包 1,500 个 gold 包 100 个 platinum 包 |
SPA 可以使用 Delegated Administrator 控制台来执行这些任务。在此版本中,Delegated Administrator 实用程序不包含执行这些任务的命令选项。
TLA 可以修改或删除任何现有的共享组织或完整组织,还可以管理这些组织中的用户。
TLA 可以撤消用户的 SPA 职责,但不能通过控制台指派 SPA 职责。有关此版本的 Delegated Administrator 中的约束列表,请参见此版本的注意事项。
有关由 TLA 执行的管理任务的完整说明,请参见第 1 章,Delegated Administrator 概述中的管理员职责与目录分层结构 。
要将 SPA 职责指派给某个组织中的用户,该组织必须是为 SPA 指定的并且从属于 SPA 将管理的提供商组织。
在图 A–1 显示的示例中,假设需要为名为 VIS 的提供商组织创建 SPA。可以将 SPA 职责指派给组织 DEF 中的 user1。
SPA 必须位于从属组织中,因为提供商组织节点不包含任何用户。
因此,必须至少在提供商组织下创建一个组织,SPA 才能管理该提供商组织。应指定此组织来包含被指派为 SPA 职责的用户。有关详细信息,请参见创建提供商组织和服务提供商管理员。
在此版本的 Delegated Administrator 中,无法使用 Delegated Administrator 控制台或实用程序来创建 SPA 或提供商组织。
要创建 SPA 或提供商组织,必须手动修改自定义服务提供商模板 da.provider.skeleton.ldif。
有关使用自定义服务提供商模板来执行这些任务的说明,请参见本附录后面的创建提供商组织和服务提供商管理员。