在 Active Directory 中授予添加用户/修改/更改密码/将其添加到组中但不能删除它们的权限

在 Active Directory 中授予添加用户/修改/更改密码/将其添加到组中但不能删除它们的权限

我想添加委托用户权限以:

  • 将新用户添加到容器
  • 更改密码
  • 修改群组成员资格
  • 修改用户属性(例如电子邮件/姓名等)
  • 在 OU 之间移动用户

基本上,用户除了删除帐户外,还可以使用帐户执行大多数操作。我尝试使用控制委派向导,但常见任务范围太广(通常包括删除部分),所以我需要进入自定义任务进行委派。

这是我选择的选项:

  • 仅文件夹中的以下对象(用户对象)

但是最后一个权限页面太宽了,我不想给用户太多权力。有人能分享一下对于指定问题哪些选项是必要的吗?作为补充,写一下每个选项的含义以及赋予的权力是什么?

答案1

要将权限委托给域用户:

  • 将新用户添加到容器
  • 更改密码
  • 修改群组成员资格
  • 修改用户属性(例如电子邮件/姓名等)
  • 在 OU 之间移动用户

我必须创建 2 个组,因为当我选择多个用户对象时,委派向导不允许我指定在每个用户对象上选择什么。因此我决定创建 2 个组。一个用于用户管理,一个用于组管理。

第一个需要执行以下步骤:

  • 右键单击容器并选择Delegate Control
  • 当委派向导打开时,点击Next
  • 在另一个页面上,选择您要授予权限的组,然后按Next
  • 在下一页上Create a custom task to delegate选择Next
  • 选择Only the following objects in the folder并转到列表底部并选择User objects。选择多于一个条目将无法让您详细选择要更改的属性。
  • 确保已Create selected objects in this folder检查并按Next
  • 选择:

    • 读取所有属性
    • 写入所有属性
    • 读写一般信息
    • 读取和写入登录信息
    • 读写电话和邮件选项
    • 读写网络信息
    • 读写终端服务器许可证服务器
    • 读取和写入远程访问信息
    • 更改密码
    • 重设密码

这允许创建用户并启用/禁用用户,但不能删除它。目前用户无法更改组成员身份,因为这必须以不同的方式完成。

答案2

您应该查看用户对象上的可用 ACE,并委托您需要的内容(减去 ACE)Delete

尽管如此,最好还是只将这些类型的权限授予您信任的人,让他们不会删除您的对象。当然会发生意外,但正如我之前提到的,有备份和其他方法(防止意外删除、AD 回收站)可以从中恢复。

相关内容