在 Server 2008 中使用非管理员帐户管理 Active Directory 组成员身份

Question 1

根据评论这个问题，您是否尝试过将用户添加到“高级用户”组？

另外，如果他们在 UAC 提示符下只是说“否”，会发生什么情况？我希望 MMC 仍然能够正常打开；事实并非如此吗？如果它仍然打开，您可以使用调整UAC禁用提示。

我猜想运行 ADUC 会触发内置的自动特权提升规则，无论是从该管理单元还是从整个 mmc.exe 中触发。如果上述建议均无效，我会尝试以不同的方式运行该工具：直接运行管理单元 .msc 文件，将 .msc 复制到某处然后运行它，等等。

Answer

根据评论这个问题，您是否尝试过将用户添加到“高级用户”组？

另外，如果他们在 UAC 提示符下只是说“否”，会发生什么情况？我希望 MMC 仍然能够正常打开；事实并非如此吗？如果它仍然打开，您可以使用调整UAC禁用提示。

我猜想运行 ADUC 会触发内置的自动特权提升规则，无论是从该管理单元还是从整个 mmc.exe 中触发。如果上述建议均无效，我会尝试以不同的方式运行该工具：直接运行管理单元 .msc 文件，将 .msc 复制到某处然后运行它，等等。

Question 2

感谢上述建议，这就是我最终解决问题的方法。

为了在 Windows Server 2008 R2 中打开 Active Directory 用户和计算机 MMC 控制台，用户至少需要成为“帐户操作员”权限组的一部分。

因此，我将用户放入一个组中，并将该组放入帐户操作员组中。这样他就可以打开控制台了。

为了限制他只能操作我需要的一个组，我进入并专门为域中每个其他 OU 到用户所在组添加了“拒绝读取”权限。因此，当用户打开 ADU＆C 控制台时，他唯一看到的是一个 OU 和一个他实际上具有管理控制权的组。

虽然这不完全是最优雅的解决方案，但它确实有效。

Answer

感谢上述建议，这就是我最终解决问题的方法。

为了在 Windows Server 2008 R2 中打开 Active Directory 用户和计算机 MMC 控制台，用户至少需要成为“帐户操作员”权限组的一部分。

因此，我将用户放入一个组中，并将该组放入帐户操作员组中。这样他就可以打开控制台了。

为了限制他只能操作我需要的一个组，我进入并专门为域中每个其他 OU 到用户所在组添加了“拒绝读取”权限。因此，当用户打开 ADU＆C 控制台时，他唯一看到的是一个 OU 和一个他实际上具有管理控制权的组。

虽然这不完全是最优雅的解决方案，但它确实有效。

Question 3

您可以将 managedby 属性添加到安全组，该用户帐户具有从该特定组添加/删除用户的权限。

Answer

您可以将 managedby 属性添加到安全组，该用户帐户具有从该特定组添加/删除用户的权限。

Question 4

在默认域控制器策略中的允许本地登录中添加用户。

组策略管理-->默认域控制器策略

编辑计算机配置/策略/Windows 设置/安全设置/本地策略/用户权限分配/允许本地登录

在命令提示符中执行 gpupdate 后，使用该用户帐户登录 DC 并提供用户凭据。现在您的要求将得到满足。

Answer

在默认域控制器策略中的允许本地登录中添加用户。

组策略管理-->默认域控制器策略

编辑计算机配置/策略/Windows 设置/安全设置/本地策略/用户权限分配/允许本地登录

在命令提示符中执行 gpupdate 后，使用该用户帐户登录 DC 并提供用户凭据。现在您的要求将得到满足。

相关内容