Active Directory 委派最佳實踐

我正在將一些 Active Directory 任務委派給一組使用者。這些使用者沒有域管理權限，只會執行諸如在單個 OU 中創建/禁用帳戶之類的任務。我有兩個問題：

a) 為了讓使用者能夠從他們的工作站執行這些操作，除了安裝遠端伺服器和管理工具之外，還有其他方法嗎？我可以以某種方式僅安裝“Active Directory 使用者和電腦”管理單元嗎？

b) 儘管使用 mmc.exe 創建了自定義 AD 管理單元，因此要管理的單個 OU 位於根目錄下，但我驚訝地發現使用者仍然可以讀取整個 AD 域結構。這是設計使然還是我的權限在某個地方出錯了？

非常感謝！

a) 為了讓使用者能夠從他們的工作站執行這些操作，除了安裝遠端伺服器和管理工具之外，還有其他方法嗎？我可以以某種方式僅安裝“Active Directory 使用者和電腦”管理單元嗎？

ADUC 是 RSAT 的一部分。他們需要安裝它，除非他們想使用命令行net use命令，這不是很有效。

b) 儘管使用 mmc.exe 創建了自定義 AD 管理單元，因此要管理的單個 OU 位於根目錄下，但我驚訝地發現使用者仍然可以讀取整個 AD 域結構。這是設計使然還是我的權限在某個地方出錯了？

這是正常的，也是意料之中的。在你的 AD 中幾乎沒有什麼是秘密的，而且在大多數情況下確實沒有理由保密。即使您沒有為這些使用者（或任何使用者）安裝 ADUC，他們仍然可以使用 、 或 PowerShell cmdlet 收集有關您的域dsquery的net use資訊Get-AD*。

別擔心，什麼都沒有發生。應該是這樣的。

引用自：https://serverfault.com/questions/516476