我在一所大学工作,下个学年,所有 18 岁以下的学生在获得 Windows 登录权限之前都必须进行快速电子安全测试(不要询问),因此帐户将处于禁用状态(AD 中的 userAccountControl 属性)。我已经编写了查询测试结果的程序,如果我使用域帐户,它可以启用用户。
但是由于各种原因,我们想将其提供给几个用户进行手动覆盖,那么是否可以创建一个只能修改 userAccountControl 属性的服务帐户?
注意:我是一名程序员,而不是网络管理员,所以请保持礼貌,我的 AD 知识主要是为了查询它
答案1
完全可以做到这一点。在您的学生 OU(假设您有一个)上设置修改它的权限。要正确设置,请在 ADU&C 中,转到 OU 对象,右键单击并转到属性
- 在“安全”选项卡上,单击“高级”
- 添加用户
- 选择属性选项卡
- 将其更改为“所有后代用户对象”
- 勾选“读取”和“写入”至“UserAccountControl”
该对象现在将能够为该 OU 中的所有用户对象设置帐户状态。
我们处理这个问题的方法是创建一个具有自己的身份验证的 Web 应用程序(我们使用我们的 SSO 解决方案来管理对它的访问),该应用程序处理来自需要例外情况的技术人员的这些请求。然后,Web 应用程序使用上面创建的帐户执行操作。该应用程序充当谁在解锁什么的可审计代理。