Active-Directory

Active Directory 委派最佳實踐

  • October 3, 2013

我正在將一些 Active Directory 任務委派給一組使用者。這些使用者沒有域管理權限,只會執行諸如在單個 OU 中創建/禁用帳戶之類的任務。我有兩個問題:

a) 為了讓使用者能夠從他們的工作站執行這些操作,除了安裝遠端伺服器和管理工具之外,還有其他方法嗎?我可以以某種方式僅安裝“Active Directory 使用者和電腦”管理單元嗎?

b) 儘管使用 mmc.exe 創建了自定義 AD 管理單元,因此要管理的單個 OU 位於根目錄下,但我驚訝地發現使用者仍然可以讀取整個 AD 域結構。這是設計使然還是我的權限在某個地方出錯了?

非常感謝!

a) 為了讓使用者能夠從他們的工作站執行這些操作,除了安裝遠端伺服器和管理工具之外,還有其他方法嗎?我可以以某種方式僅安裝“Active Directory 使用者和電腦”管理單元嗎?

ADUC 是 RSAT 的一部分。他們需要安裝它,除非他們想使用命令行net use命令,這不是很有效。

b) 儘管使用 mmc.exe 創建了自定義 AD 管理單元,因此要管理的單個 OU 位於根目錄下,但我驚訝地發現使用者仍然可以讀取整個 AD 域結構。這是設計使然還是我的權限在某個地方出錯了?

這是正常的,也是意料之中的。在你的 AD 中幾乎沒有什麼是秘密的,而且在大多數情況下確實沒有理由保密。即使您沒有為這些使用者(或任何使用者)安裝 ADUC,他們仍然可以使用 、 或 PowerShell cmdlet 收集有關您的域dsquerynet use資訊Get-AD*

別擔心,什麼都沒有發生。應該是這樣的。

引用自:https://serverfault.com/questions/516476