我在 Active Directory 域环境中运行 Server 2008 R2。
我已经在 Active Directory 中创建了一个组,并且已将该组的管理权限委托给用户。
我希望该用户能够根据需要从该组中添加和删除帐户,以便他们能够行使某种控制权,而无需授予他们其他权限。
当我让用户尝试访问 Active Directory 用户和计算机控制台时,它会提示他们输入管理员凭据。他们使用远程桌面访问服务器,因为他们没有 Windows 7,并且防火墙规则阻止使用远程管理工具包。
除了向该组添加/删除用户所需的最低权限外,我不想为他们提供任何级别的管理权限。
在这个隔离的环境中,有两台服务器相互“对话”,一台域控制器和一台成员服务器,两者都只能通过 RDP 访问。
有什么建议么?
答案1
答案2
感谢上述建议,这就是我最终解决问题的方法。
为了在 Windows Server 2008 R2 中打开 Active Directory 用户和计算机 MMC 控制台,用户至少需要成为“帐户操作员”权限组的一部分。
因此,我将用户放入一个组中,并将该组放入帐户操作员组中。这样他就可以打开控制台了。
为了限制他只能操作我需要的一个组,我进入并专门为域中每个其他 OU 到用户所在组添加了“拒绝读取”权限。因此,当用户打开 ADU&C 控制台时,他唯一看到的是一个 OU 和一个他实际上具有管理控制权的组。
虽然这不完全是最优雅的解决方案,但它确实有效。
答案3
您可以将 managedby 属性添加到安全组,该用户帐户具有从该特定组添加/删除用户的权限。
答案4
在默认域控制器策略中的允许本地登录中添加用户。
组策略管理-->默认域控制器策略
编辑计算机配置/策略/Windows 设置/安全设置/本地策略/用户权限分配/允许本地登录
在命令提示符中执行 gpupdate 后,使用该用户帐户登录 DC 并提供用户凭据。现在您的要求将得到满足。