限制 Active Directory 用户和计算机的视图

限制 Active Directory 用户和计算机的视图

我将一组用户委托给某个人,以便能够跟上他们的帐户管理,并且我已将执行此操作的权限委托给该组。有没有办法限制该人查看 ADUC 上的组策略或其他组织单位?

提前感谢您的时间。

答案1

是的,但很复杂。您需要做的是将您的域置于列表对象模式。这是通过在 ADSI 编辑中将配置命名上下文中的 dsHeuristics 属性中的第三个数字设置为 1 来完成的。

http://technet.microsoft.com/en-us/library/cc546864.aspx

完成后,您将解锁列表对象模式,您将看到它是可以分配给 Active Directory 对象的新权限或 ACE。

它让人想起 Windows 安全性中的“绕过遍历检查”权限,该权限允许用户遍历他们无权访问的文件夹,以便到达他们有权访问的文件夹。

您主要会看到 AD 列表对象模式用于多租户环境中,在这种环境中,多个客户共享同一个 AD 域,并且您不希望他们能够看到彼此的内容。

但请记住,除非您对权限非常精确,否则您将在客户端上遇到组策略应用程序错误。客户端上的 GP 引擎需要读取 gpLink、读取 gpOptions、读取 cn 和读取每个 OU 上的 Distinguished Name在链中从它们所在的位置一直到域的根目录,否则 GPO 应用程序将失败。

答案2

希望这可以帮助:

定制 MMC 指南

相关内容