Active-Directory

Active Directory,為特定類委派控制

  • September 19, 2020

我的 AD 中有對像類設置為設備,我想將控制權委託給非管理員使用者,以便他們能夠添加新對象並刪除對像類設置為設備的現有對象,但不能添加具有對像類的其他對象使用者、電腦或組。

我正在使用設備類,因為此類具有 macAddress 屬性。使用 New-ADObject 命令創建新對象

New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"}

據我所見,委派控制嚮導或 ACL 編輯器不提供如此細粒度的控制,我可以在其中選擇應編輯其安全屬性的自定義 objectClass。

Active Directory 中的權限系統絕對可以為所欲為。就像測試一樣,我使用 ADSIEDIT 設置了您正在尋找的權限:

  • 導航到我的“設備測試”OU,打開“屬性”和“高級”安全對話框
  • 添加組“測試設備管理員組”,應用於“此對象和所有子對象”,授予“創建設備對象”和“刪除設備對象”的“允許”權限
  • 添加了第二個訪問控制條目 (ACE),引用組“Test Device Admins Group”,應用於“設備對象”,授予“完全控制”權限(可以說,這對於您正在尋找的內容可能過於嚴厲但為了快速測試

引用自:https://serverfault.com/questions/565896