我想添加委托用户权限以:
- 将新用户添加到容器
- 更改密码
- 修改群组成员资格
- 修改用户属性(例如电子邮件/姓名等)
- 在 OU 之间移动用户
基本上,用户除了删除帐户外,还可以使用帐户执行大多数操作。我尝试使用控制委派向导,但常见任务范围太广(通常包括删除部分),所以我需要进入自定义任务进行委派。
这是我选择的选项:
- 仅文件夹中的以下对象(用户对象)
但是最后一个权限页面太宽了,我不想给用户太多权力。有人能分享一下对于指定问题哪些选项是必要的吗?作为补充,写一下每个选项的含义以及赋予的权力是什么?
答案1
要将权限委托给域用户:
- 将新用户添加到容器
- 更改密码
- 修改群组成员资格
- 修改用户属性(例如电子邮件/姓名等)
- 在 OU 之间移动用户
我必须创建 2 个组,因为当我选择多个用户对象时,委派向导不允许我指定在每个用户对象上选择什么。因此我决定创建 2 个组。一个用于用户管理,一个用于组管理。
第一个需要执行以下步骤:
- 右键单击容器并选择
Delegate Control - 当委派向导打开时,点击
Next - 在另一个页面上,选择您要授予权限的组,然后按
Next - 在下一页上
Create a custom task to delegate选择Next - 选择
Only the following objects in the folder并转到列表底部并选择User objects。选择多于一个条目将无法让您详细选择要更改的属性。 - 确保已
Create selected objects in this folder检查并按Next 选择:
- 读取所有属性
- 写入所有属性
- 读写一般信息
- 读取和写入登录信息
- 读写电话和邮件选项
- 读写网络信息
- 读写终端服务器许可证服务器
- 读取和写入远程访问信息
- 更改密码
- 重设密码
这允许创建用户并启用/禁用用户,但不能删除它。目前用户无法更改组成员身份,因为这必须以不同的方式完成。
答案2
您应该查看用户对象上的可用 ACE,并委托您需要的内容(减去 ACE)Delete。
尽管如此,最好还是只将这些类型的权限授予您信任的人,让他们不会删除您的对象。当然会发生意外,但正如我之前提到的,有备份和其他方法(防止意外删除、AD 回收站)可以从中恢复。