我将一组用户委托给某个人,以便能够跟上他们的帐户管理,并且我已将执行此操作的权限委托给该组。有没有办法限制该人查看 ADUC 上的组策略或其他组织单位?
提前感谢您的时间。
答案1
是的,但很复杂。您需要做的是将您的域置于列表对象模式。这是通过在 ADSI 编辑中将配置命名上下文中的 dsHeuristics 属性中的第三个数字设置为 1 来完成的。
http://technet.microsoft.com/en-us/library/cc546864.aspx
完成后,您将解锁列表对象模式,您将看到它是可以分配给 Active Directory 对象的新权限或 ACE。
它让人想起 Windows 安全性中的“绕过遍历检查”权限,该权限允许用户遍历他们无权访问的文件夹,以便到达他们有权访问的文件夹。
您主要会看到 AD 列表对象模式用于多租户环境中,在这种环境中,多个客户共享同一个 AD 域,并且您不希望他们能够看到彼此的内容。
但请记住,除非您对权限非常精确,否则您将在客户端上遇到组策略应用程序错误。客户端上的 GP 引擎需要读取 gpLink、读取 gpOptions、读取 cn 和读取每个 OU 上的 Distinguished Name在链中从它们所在的位置一直到域的根目录,否则 GPO 应用程序将失败。
答案2
希望这可以帮助: