Active Directory，為特定類委派控制

我的 AD 中有對像類設置為設備，我想將控制權委託給非管理員使用者，以便他們能夠添加新對象並刪除對像類設置為設備的現有對象，但不能添加具有對像類的其他對象使用者、電腦或組。

我正在使用設備類，因為此類具有 macAddress 屬性。使用 New-ADObject 命令創建新對象

New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"}

據我所見，委派控制嚮導或 ACL 編輯器不提供如此細粒度的控制，我可以在其中選擇應編輯其安全屬性的自定義 objectClass。

Active Directory 中的權限系統絕對可以為所欲為。就像測試一樣，我使用 ADSIEDIT 設置了您正在尋找的權限：

• 導航到我的“設備測試”OU，打開“屬性”和“高級”安全對話框
• 添加組“測試設備管理員組”，應用於“此對象和所有子對象”，授予“創建設備對象”和“刪除設備對象”的“允許”權限
• 添加了第二個訪問控制條目 (ACE)，引用組“Test Device Admins Group”，應用於“設備對象”，授予“完全控制”權限（可以說，這對於您正在尋找的內容可能過於嚴厲但為了快速測試

引用自：https://serverfault.com/questions/565896