Windows-Server-2008

如何使組對 AD 中的使用者不可讀

  • January 23, 2013

我們正在使用任務板將任務(例如重置密碼)委託給遠端管理員;委派在 OU 級別完成;但不幸的是,OU 包含一些特殊的帳戶/組(例如設計的應用程序帳戶和管理員組);我們不希望遠端管理員打擾他們。有沒有辦法讓遠端管理員無法訪問這些組和使用者帳戶,即使它們是在 OU 級別委派的?

->如果我們能讓遠端管理員看不見它們會更好,但我認為這不太合理。->那些賬戶/組不能被移出相關的OU

請給出您的建議,如果有任何問題或澄清,請告訴我。

如果您要委派管理使用者帳戶所需的最低權限(僅在使用者帳戶上重置密碼、讀取屬性、寫入屬性和解鎖帳戶),那麼他們將無法對組執行任何操作,因此這是一個非-問題。如果您正確委派了權限,它們在同一個 OU 中的事實並不重要。

嘗試做一些類似讓使用者無法讀取組的事情是可能的,但這確實不是解決這個問題的正確答案,並且可能會在未來導致問題,作為我們所有使用者能夠讀取所有組成員身份的預設行為。打破這一點可能會產生意想不到的後果,尤其是第三方應用程序或 LDAP 之外的東西,但可能不知道 AD。

引用自:https://serverfault.com/questions/471841