在 Server 2008 中使用非管理员帐户管理 Active Directory 组成员身份

在 Server 2008 中使用非管理员帐户管理 Active Directory 组成员身份

我在 Active Directory 域环境中运行 Server 2008 R2。

我已经在 Active Directory 中创建了一个组,并且已将该组的管理权限委托给用户。

我希望该用户能够根据需要从该组中添加和删除帐户,以便他们能够行使某种控制权,而无需授予他们其他权限。

当我让用户尝试访问 Active Directory 用户和计算机控制台时,它会提示他们输入管理员凭据。他们使用远程桌面访问服务器,因为他们没有 Windows 7,并且防火墙规则阻止使用远程管理工具包。

除了向该组添加/删除用户所需的最低权限外,我不想为他们提供任何级别的管理权限。

在这个隔离的环境中,有两台服务器相互“对话”,一台域控制器和一台成员服务器,两者都只能通过 RDP 访问。

有什么建议么?

答案1

根据评论这个问题,您是否尝试过将用户添加到“高级用户”组?

另外,如果他们在 UAC 提示符下只是说“否”,会发生什么情况?我希望 MMC 仍然能够正常打开;事实并非如此吗?如果它仍然打开,您可以使用调整UAC禁用提示。

我猜想运行 ADUC 会触发内置的自动特权提升规则,无论是从该管理单元还是从整个 mmc.exe 中触发。如果上述建议均无效,我会尝试以不同的方式运行该工具:直接运行管理单元 .msc 文件,将 .msc 复制到某处然后运行它,等等。

答案2

感谢上述建议,这就是我最终解决问题的方法。

为了在 Windows Server 2008 R2 中打开 Active Directory 用户和计算机 MMC 控制台,用户至少需要成为“帐户操作员”权限组的一部分。

因此,我将用户放入一个组中,并将该组放入帐户操作员组中。这样他就可以打开控制台了。

为了限制他只能操作我需要的一个组,我进入并专门为域中每个其他 OU 到用户所在组添加了“拒绝读取”权限。因此,当用户打开 ADU&C 控制台时,他唯一看到的是一个 OU 和一个他实际上具有管理控制权的组。

虽然这不完全是最优雅的解决方案,但它确实有效。

答案3

您可以将 managedby 属性添加到安全组,该用户帐户具有从该特定组添加/删除用户的权限。

答案4

在默认域控制器策略中的允许本地登录中添加用户。

组策略管理-->默认域控制器策略

编辑计算机配置/策略/Windows 设置/安全设置/本地策略/用户权限分配/允许本地登录

在命令提示符中执行 gpupdate 后,使用该用户帐户登录 DC 并提供用户凭据。现在您的要求将得到满足。

相关内容