Windows-Server-2008
無需刪除使用者帳戶的 Active Directory 控制委派
在 Windows 2008r2 域和林功能級別中,我試圖將使用者帳戶管理和“密碼重置/強制更改”委派給我的活動目錄中的特定使用者組,但我不想授予他們權限刪除使用者帳戶。有沒有辦法完成這個任務?
請注意:我嘗試了很多方法…使用委託控制嚮導選擇委託常見任務“創建、更改、刪除使用者帳戶”,然後拒絕“刪除”和“刪除子樹”權限;創建一個自定義任務以僅允許創建使用者帳戶對象……但是這些方法都沒有奏效。(我創建了帳戶,但錯誤消息指出我沒有足夠的權限來創建帳戶,因此它將被創建然後禁用……)
有任何想法嗎?
我可以說我已經在另一個 serverfault 問題中找到了答案。很抱歉給您帶來不便,感謝您的幫助。
您需要為此權限創建一個安全組,然後選擇您要委派控制的 OU。
從那裡:
選擇安全組並點擊下一步。
選擇
Create a custom task to delegate
,然後點擊下一步選擇以下權限:
Create User Objects
Read All Properties
Write userPassword
這應該為您的使用者提供足夠的權限來創建帳戶、閱讀他們的資訊和設置他們的密碼。
如果您想允許這些使用者設置任何其他欄位,只需選擇
Allow
該欄位的寫入權限。