我正在尝试向一些管理员提供任务板来执行在 OU 级别委派给他们的一些任务。我遇到了以下问题;
假设我将访问权限委托给 OU X 上的管理员,并且该管理员能够修改组(例如示例组 X1),他必须能够将 OU X 中的任何用户添加到组 X1。
这里的问题是,在测试时我发现管理员可以执行上述操作,但也可以将用户 Y1 从 OU Y(他没有委派权限)添加到组 X1。我遗漏了什么?如何限制管理员将 OU 外的用户添加到他有修改权限的组中?
是否需要更多详细信息/说明,请询问我。
答案1
你真的不能这样做。如果你授予用户将用户添加到组的能力,他们可以添加他们的帐户可以读取的任何用户。由于你需要从根本上改变 AD 权限的布局方式,以限制受限用户帐户读取其他用户的基本属性,因此这通常是一种不受支持的配置,会破坏许多你不想破坏的东西。
简而言之,如果不对默认 AD 权限布局进行重大修改,则没有真正的功能可以说“只要 [用户] 存在于这个 OU 中,您就可以将 [用户] 添加到此组”。