尝试为 Active Directory 域创建站点管理员用户帐户。使用 Active Directory 委派权限向导。用户帐户已在 OU 中被授予权限。但是,当尝试使用该权限时,某些选项会变灰。当前设置允许站点管理员编辑站点管理员创建的帐户,值不会变灰。当站点管理员尝试编辑域或企业管理员创建的用户帐户时,某些区域会变灰。
需要具有管理员所有权限但仅限于 OU 及其子级的用户帐户。
在有问题的 OU 中,有大约 50 个用户对象,其中 8 个对象继承了 pwdLastSet 值。右侧的图像显示了继承权限的对象之一。左侧的图像显示了没有继承权限的用户对象。它们位于同一个 OU 中。
在大多数对象的“安全”选项卡中没有我的帮助台组,而右侧图像的“安全”选项卡却有具有权限的帮助台组。
由于某种原因,权限被部分对象继承,但不是全部对象。
更新
我尝试使用不同林中的不同 OU,结果相同 步骤 1 在林中创建一个新用户帐户 步骤 2 右键 OU 委派控制 步骤 3 选择我的新用户 选中所有复选框 使用我的新 DelegatedAdmin 帐户导航到 UO。OU 中有 4 个用户。我无法编辑用户 1 和 2。我可以按预期编辑用户 3 和 4。
更新
我已经创建了一个包含测试用户和测试管理员/帮助台用户的测试 OU。在这些测试 OU 中,一切都按预期运行。我担心此时我的全局目录或架构存在问题。
答案1
检查两个对象的权限。要查看权限,请查看“安全“选项卡,就像文件或文件夹一样。
由于没有“安全“选项卡,您需要转到看法在 Active Directory 用户和计算机菜单中选择高级功能。然后您将能够看到安全选项卡并验证对象的权限。
答案2
在 Active Directory 中创建的对象具有授予创建者/所有者的“创建者所有者”权限。这可能会产生意想不到的效果。例如,之前工作中的一位桌面技术人员发现,尽管没有明确的权限,他也可以删除 AD 中的一些 PC,但前提是他是添加这些 PC 的人。这是因为他是 PC 对象的创建者,因此对其具有特殊权限。
您对 Jack 的回答的陈述是:“在我将权限委托给站点管理员后创建的任何对象都表明站点管理员拥有完全控制权。之前已经创建了几千个用户”,这表明发生了类似的事情。我想,如果您拉出站点管理员创建的一个对象并选择“安全”->“高级”->“所有者”,您会发现您的站点管理员拥有该对象。
如果您希望站点管理员对该 OU 拥有完全控制权,则可能需要在 Jack 提到的高级功能下的安全选项卡中明确授予该权限。解锁/更改密码可能是修改。