Windows-Server-2008

無需刪除使用者帳戶的 Active Directory 控制委派

  • November 7, 2019

在 Windows 2008r2 域和林功能級別中,我試圖將使用者帳戶管理和“密碼重置/強制更改”委派給我的活動目錄中的特定使用者組,我不想授予他們權限刪除使用者帳戶。有沒有辦法完成這個任務?

請注意:我嘗試了很多方法…使用委託控制嚮導選擇委託常見任務“創建、更改、刪除使用者帳戶”,然後拒絕“刪除”和“刪除子樹”權限;創建一個自定義任務以僅允許創建使用者帳戶對象……但是這些方法都沒有奏效。(我創建了帳戶,但錯誤消息指出我沒有足夠的權限來創建帳戶,因此它將被創建然後禁用……)

有任何想法嗎?

我可以說我已經在另一個 serverfault 問題中找到了答案。很抱歉給您帶來不便,感謝您的幫助。

您需要為此權限創建一個安全組,然後選擇您要委派控制的 OU。

從那裡:

選擇安全組並點擊下一步。

選擇Create a custom task to delegate,然後點擊下一步

選擇以下權限:

  • Create User Objects
  • Read All Properties
  • Write userPassword

這應該為您的使用者提供足夠的權限來創建帳戶、閱讀他們的資訊和設置他們的密碼。

如果您想允許這些使用者設置任何其他欄位,只需選擇Allow該欄位的寫入權限。

引用自:https://serverfault.com/questions/990645