Windows-Server-2008

向 Active Directory/任務板中的管理員委派權限

  • November 14, 2012

我正在嘗試向少數管理員提供任務板,以便在 OU 級別對委託給他們的少數任務進行操作。我遇到了以下問題;

假設我將訪問權限委託給 OU X 上的管理員,並且能夠修改範例組 X1 等組,他必須能夠將 OU X 中的任何使用者添加到組 X1。

這裡的問題是在測試時我發現管理員可以執行上述操作,但也可以將來自 OU Y 的使用者 Y1(他沒有委派權限)添加到組 X1。我錯過了什麼?如何限制管理員將 OU 中的使用者添加到他具有修改權限的組中?

請詢問我是否需要更多詳細資訊/說明。

你真的不能這樣做。如果您授予使用者將使用者添加到組的能力,他們可以添加其帳戶可以讀取的任何使用者。由於您需要從根本上更改 AD 權限的佈局方式以限制受限使用者帳戶讀取其他使用者的基本屬性,因此它通常是一個不受支持的配置,它會破壞很多您不想破壞的東西。

簡而言之,沒有真正的功能可以說“您可以添加

$$ user $$只要到這個組$$ user $$存在於這個 OU 中”,無需對預設 AD 權限佈局進行重大修改。

引用自:https://serverfault.com/questions/448680