我们正在使用任务板将任务(例如重置密码)委派给远程管理员;委派是在 OU 级别完成的;但不幸的是,OU 包含一些特殊帐户/组(例如应用程序帐户和管理组,这是设计使然);我们不希望远程管理员干扰它们。有没有办法让这些组和用户帐户对远程管理员不可访问,即使它们是在 OU 级别委派的?
->如果我们可以将它们隐藏在远程管理员面前,那就更好了,但我认为这不太可行。->这些帐户/组不能移出相关 OU
请提出您的建议,如果有任何问题或需要澄清,请告诉我。
答案1
如果您委派了管理用户帐户所需的最低权限(仅在用户帐户上重置密码、读取属性、写入属性和解锁帐户),那么他们将无法对组执行任何操作,因此这不是问题。如果您已正确委派权限,他们是否在同一个 OU 中并不重要。
尝试做一些事情,比如让用户无法读取组,这是可能的,但这实际上并不是解决这个问题的正确答案,而且可能会导致以后的问题,因为默认行为是让所有用户都能读取所有组成员身份。打破这一点可能会产生意想不到的后果,尤其是对于第三方应用程序或 LDAP 之外但可能不是 AD 感知的东西。