我有一个帐户,但我不想授予它管理员权限,只想创建 OU、用户和组。问题是 Accounts Operator 无法创建 OU,我该如何为此添加组?或者我可以更改 Accounts Operator 组的权限吗?
该域是由Windows Server 2003创建的。
答案1
有两种方法可以真正做到这一点。
如上所述,进入 Active Directory 用户和计算机控制台,在您的域下创建一个覆盖整个域的 OU,然后使用委派控制向导根据需要向用户或组提供权限。右键单击相关 OU 即可找到该工具。出于组织原因,通常最好创建一个组并将需要管理 OU 和组的所有用户嵌套在该组中。这意味着您可以快速添加和删除具有这些权限的用户,而无需进一步更改基本分发。
进入 Active Directory 用户和计算机中的“查看”菜单并启用“高级功能”选项。然后,您可以右键单击您创建的基域 OU 或辅助 OU(如我上面建议的那样),然后进入属性。现在,每个 OU 上的高级视图都有自己的安全选项卡。从那里,您可以转到每个安全组并根据组或用户精细地更改这些 OU 上的权限。如果您进入安全性中的高级视图,您可以将每个权限分解为每个组件,并根据需要具体或公开地更改它们。
答案2
您应该始终尝试根据最小权限在 Active Directory 中委派任务。
对于您希望委派的任务,您只需要授予创建子 - 用户对象、创建子 - 组对象和创建子组织单位权限。
为此,最好在域对象下立即创建一个 OU,创建一个要委派访问权限的组,然后使用 Laranostz 上面概述的步骤在该 OU 上授予上述三个权限。
委派这些任务后,您还应确保验证您的委派。有关如何验证委派的更多信息 -http://www.activedirsec.com/how_to_verify_delegations.html
还有一种可以帮助验证授权的工具,称为“AD 金手指”。它是由一位前微软安全专家我相信它也得到了微软的认可。
免责声明:我与上述工具的供应商没有任何关系。我使用过该工具,并且对其评价很高,所以我提到它,因为它对于验证授权很重要。
答案3
查看 Active Directory 的委派功能。我将在您的域中创建一个 OU,然后在该 OU 级别而不是域级别进行委派。这将使您的用户只能在此 OU 内创建 OU。我相信您必须进入委派向导的高级权限部分。