Active-Directory

Active Directory 寫入權限允許編輯使用者資訊,但不能編輯管理員使用者資訊

  • April 26, 2015

在我們的 Active Directory (2008 R2) 中,我使用委派向一組非管理員使用者授予編輯使用者資訊屬性(例如電話號碼、職務、郵政地址等)的權限。

該組的成員現在可以編輯大多數使用者資訊,但他們不能編輯管理員的資訊。但為什麼?我沒有找到任何可能導致這種情況的“拒絕”條款。

可能是 SDAdminHolder 功能。它阻止作為受保護組成員的帳戶的權限繼承。您可以通過檢查帳戶的權限以及帳戶父容器的權限來確認這一點。

引用自:https://serverfault.com/questions/548670

相關問答

Active-Directory

無法將伺服器提升為輔助域控制器

  • January 7, 2022
檢視問答
Active-Directory

在 OU 上找不到委派的“讀取鎖定時間”和“寫入鎖定時間”

  • November 29, 2017
檢視問答
Active-Directory

無法將複製目錄更改委派給 AD 中的使用者 - 嚮導中缺少選項

  • March 24, 2014
檢視問答
Active-Directory

通過 Active Directory 委派設置國家/地區欄位訪問

  • March 18, 2014
檢視問答
Active-Directory

我每天看到的這種奇怪的登錄失敗是什麼?

  • January 21, 2022
檢視問答
Active-Directory

如何將時間源從“本地 CMOS 時鐘”更改為“DC”

  • November 17, 2021
檢視問答