我的 AD 中有一些对象的 objectClass 设置为设备,我想将控制权委托给非管理员用户,以便他们能够添加新的对象并删除将 objectClass 设置为设备的现有对象,但不能添加和删除具有 objectClass 用户、计算机或组的其他对象。
我使用设备类,因为该类具有 macAddress 属性。使用 New-ADObject 命令创建新对象
New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"}
据我所见,委派控制向导或 ACL 编辑器不提供这种细粒度的控制,我可以选择应该编辑安全属性的自定义对象类。
答案1
Active Directory 中的权限系统绝对可以满足您的要求。作为测试,我使用 ADSIEDIT 设置了您所需的权限:
导航到我的“设备测试”OU,调出属性和“高级”安全对话框
添加了组“测试设备管理员组”,适用于“此对象及其所有子对象”,授予“创建设备对象”和“删除设备对象”的“允许”权限
添加了第二个访问控制条目 (ACE),引用组“测试设备管理员组”,应用于“设备对象”,授予“完全控制”权限(这可能对于你正在寻找的内容来说太过严厉,但可以进行快速测试