置备用户的方案

根据业务需要，您可以创建简单目录结构并由单个管理员进行管理，也可以创建多层目录结构并将置备和管理任务委托给低级别管理员。

本节将介绍复杂程度依次提高的三种方案，然后介绍 Delegated Administrator 提供的可满足这些方案的要求的管理员职责和目录结构。

单层结构

在此方案中，公司或组织可包含数百或数千个员工或用户。所有用户都被分到单个组织中。由单个管理员查看和管理整个组。不存在管理任务委托情况。

图 1–1 显示了单个组织、单层结构中的管理员职责示例。

图 1–1 单层结构中的管理员职责

在单层结构中，管理员被称为顶级管理员 (Top-Level Administrator, TLA)。

在图 1–1 所示的示例中，TLA 直接管理和置备用户（User1、User2，一直到 Usern）。

如果您的目录中只有一个组织，则只需要 TLA 这一个管理员。

有关详细信息，请参见以下各节：

• 支持单层结构的目录结构

• 顶级管理员职责。

两层结构

在此方案中，一个大公司（例如某个 Internet 服务提供商 [Internet Service Provider, ISP]）为多项业务提供服务。每一项业务具有各自的独特域，其中可能包含数千或数万个用户。

此方案并不是靠单个顶级管理员 (Top-Level Administrator, TLA) 来管理和置备所有域，而是允许将任务委托给低级别管理员。

在两层结构中，目录中包含多个组织。针对每个托管域，会创建一个单独的组织。

每个组织被指派给一个组织管理员 (Organization Administrator, OA)。每个 OA 负责所辖组织中的用户。OA 不能查看或修改该 OA 所辖组织以外的目录信息。

图 1–2 显示了两层结构中的管理员职责示例。

图 1–2 两层结构中的管理员职责

在图 1–2 所示的示例中，TLA 可创建和管理 OA1、OA2，一直到 OAn。每个 OA 管理一个组织中的用户。

如果您的目录中需要多个组织，则应当创建 TLA 和 OA 来管理各个组织及其用户。

有关详细信息，请参见以下各节：

• 支持两层结构的目录结构

• 顶级管理员职责

• 组织管理员职责。

三层结构

在此方案中，一个公司（例如某个 ISP）为数百或数千项小业务提供服务，每一项业务都需要具有各自的组织。

ISP 可支持数百万需要邮件服务的最终用户。此外，ISP 还可能与管理最终用户业务的第三方转售商合作。

目录中每天可能会增加许多新的组织。

在两层结构中，TLA 将必须一一创建所有这些新组织。

而在三层结构中，则可以将管理任务委托给二级管理员。这种二级委托可以使得对大型 LDAP 目录所支持的大型客户库的管理容易一些。

为支持此分层结构，Delegated Administrator 引入了一个新的职责，服务提供商管理员 (Service Provider Administrator, SPA)。

SPA 的权力范围介于顶级管理员 (Top-Level Administrator, TLA) 与组织管理员 (Organization Administrator, OA) 的权力范围之间。

图 1–3 显示了三层结构中的管理员职责示例。

图 1–3 三层结构中的管理员职责

在三层结构中，TLA 可将管理权委托给服务提供商管理员 (Service Provider Administrator, SPA)。SPA 可以针对新客户创建下属组织并指派组织管理员 (Organization Administrator, OA) 来管理这些组织中的用户。

如果您需要的多个组织自身划分为各个子组或组织，那么您可以使用三层结构，从而可以实现 TLA、SPA 和 OA 职责。

有关 SPA 职责的信息，请参见附录 A，服务提供商管理员和服务提供商组织。