我正在将一些 Active Directory 任务委托给一组用户。这些用户没有域管理权限,只能执行创建/禁用单个 OU 中的帐户等任务。我有两个问题:
a) 为了让用户能够从他们的工作站执行这些操作,除了安装之外还有其他方法吗?远程服务器和管理工具? 我能否以某种方式仅安装“Active Directory 用户和计算机”管理单元?
b) 尽管使用 mmc.exe 创建了自定义 AD 管理单元,因此要管理的单个 OU 位于根目录,但令我惊讶的是,用户仍然拥有对整个 AD 域结构的读取权限。这是设计使然,还是我的权限在某个地方出了问题?
非常感谢!
答案1
a) 为了让用户能够从他们的工作站执行这些操作,除了安装远程服务器和管理工具之外还有其他方法吗?我能否以某种方式仅安装“Active Directory 用户和计算机”管理单元?
ADUC 是 RSAT 的一部分。除非他们想使用命令行命令,否则他们需要安装它net use,因为命令行命令的效率不高。
b) 尽管使用 mmc.exe 创建了自定义 AD 管理单元,因此要管理的单个 OU 位于根目录,但令我惊讶的是,用户仍然拥有对整个 AD 域结构的读取权限。这是设计使然,还是我的权限在某个地方出了问题?
这是正常且意料之中的。您的 AD 中几乎没有什么秘密,而且在大多数情况下也没有理由这样做。即使您没有为这些用户(或任何用户)安装 ADUC,他们仍然可以使用 、 或 PowerShell cmdlet 收集有关您的域dsquery的net use信息Get-AD*。
别担心,一切都没有问题。事情本该如此。
答案2
经过身份验证的用户在设计上具有域根目录的读取权限(以及一些其他权限)。这些权限由域中的所有子对象继承(据我所知),并且与 Active Directory 的操作、其功能和对象相关。这些权限与授权委托没有直接关系。
答案3
您的思路是对的。您不必担心委派的管理员是否具有对 Active Directory 的完全读取权限,因为事实上,几乎所有人(即所有经过身份验证的用户)都已经具有对 Active Directory 的完全读取权限,因为它毕竟是一种目录服务,因此每个人都可以访问。
关于委派管理员可以访问 ADUC/RSAT 的全部功能,即使该功能可能存在,如果他们没有执行这些任务的基本权限,他们将无法执行这些任务,因此他们将无法做任何他们无权做的事情。
所以让他们使用 ADUC 是可以的。您需要确保的是,他们在 Active Directory 中仅拥有履行其分配职责所需的最少权限。