我确实有一个通过 LDAP 集成 Active Directory 的第三方产品(Jira)。
我想让 Jira 管理员编辑组成员身份并使其在 Active Directory 内同步。
目前这是可行的,但我需要使用域管理员服务帐户才能执行此操作。
问题是,如果不授予服务帐户整个域管理员权限,我该如何做到这一点。
答案1
你可以委托管理到您的服务帐户,以允许它编辑组成员身份,而无需授予其完整的域管理员权限。这可以针对单个组、给定 OU 中的所有组或整个域中的所有组执行,
http://www.windowsecurity.com/articles/Implementing-Active-Directory-Delegation-Administration.html