如何使組對 AD 中的使用者不可讀

我們正在使用任務板將任務（例如重置密碼）委託給遠端管理員；委派在 OU 級別完成；但不幸的是，OU 包含一些特殊的帳戶/組（例如設計的應用程序帳戶和管理員組）；我們不希望遠端管理員打擾他們。有沒有辦法讓遠端管理員無法訪問這些組和使用者帳戶，即使它們是在 OU 級別委派的？

->如果我們能讓遠端管理員看不見它們會更好，但我認為這不太合理。->那些賬戶/組不能被移出相關的OU

請給出您的建議，如果有任何問題或澄清，請告訴我。

如果您要委派管理使用者帳戶所需的最低權限（僅在使用者帳戶上重置密碼、讀取屬性、寫入屬性和解鎖帳戶），那麼他們將無法對組執行任何操作，因此這是一個非-問題。如果您正確委派了權限，它們在同一個 OU 中的事實並不重要。

嘗試做一些類似讓使用者無法讀取組的事情是可能的，但這確實不是解決這個問題的正確答案，並且可能會在未來導致問題，作為我們所有使用者能夠讀取所有組成員身份的預設行為。打破這一點可能會產生意想不到的後果，尤其是第三方應用程序或 LDAP 之外的東西，但可能不知道 AD。

引用自：https://serverfault.com/questions/471841