我在 W2012R2 上安装了 AD LDS。一切正常。现在,我想创建新角色,授予组在特定容器中创建/修改/删除用户的权限。(我使用了此文章)
例如,这是我的实例:
OU=extra,DC=domain,DC=local
|--CN=LostAndFound
|--CN=Roles
|--|----CN=Administrators(默认创建)
|--|----CN=Readers(默认创建)
|--|----CN=Users(默认创建)
|--|----CN=AdminGroupCustomer1(我自己创建)
|--OU=Users(默认创建,我只选择了名称和类型)
|--|----CN=Customer1
|--|----|--CN=Users
|--|----|--|--CN=user1
|--|----|--CN=Groups
|--|----|--|--CN=group1
|--|----|--CN=Administrators
|--|----|--|--CN=Admin1
|--|----CN=Customer2
|--|------| ...
我想允许 AdminGroupCustomer1 组修改 OU=Customer1 中的任何内容,但不修改 Customer2 中的任何内容。
所以我做了以下事情:
1°)添加管理员客户1(实际上是 AD 用户),管理员组客户1团体。好的
2°)添加管理员组客户1(即群组角色)读者团体角色。好的(真的有必要吗?...我不这么认为)。3
°)执行以下 DSACLS.EXE 命令,将 Customer1 容器的权限授予 AdminGroupCustomer1 组:
dsacls.exe "\\server:port\CN=Customer1,OU=Users,OU=extra,DC=domain,DC=local" /I:T /G "CN=AdminGroupCustomer1,CN=Roles,OU=extra,DC=domain,DC=local:GW"
在哪里/它用于将权限应用于对象和子对象。并且/G用于授予权利。毛里求斯是通用写权限。
但是,当连接到具有属于 AdminGroupCustomer1 的 AD 用户的实例时,我仍然无法修改 user1 的密码。我试过:可湿性粉剂= 写入属性和西部数据= 写入安全更改没有成功,所以我真的不明白。
权限信息可以在以下位置找到technet 文章。
我错过了什么 ?
我是否需要在需要修改的特定属性上设置写权限?例如,在密码属性上设置 WP 以便能够重置/更改用户密码?
编辑:我应该将这个问题移至超级用户吗?