我正在尝试锁定我们的 AD 域并从域管理员组中删除不需要的用户。我是一名 Linux 用户,因此其中一些是新的或不同的。
我们是一家全 Mac 商店,因此我们管理 AD 的唯一方法是直接在 AD 本身上管理。我们设置为允许 RDP 进入系统,并且我已将其锁定到一组应该有访问权限的有限组,但当用户尝试打开 AD 用户和计算机应用程序(MMC 管理单元)时,就会出现困境。他们立即看到一个对话框,要求输入管理员凭据以允许应用程序修改系统。
我们在具有 2 个 RW DC 和一个 RO DC 的 Windows 2012 R2 Server 上。
任何帮助都非常感谢!谢谢!
答案1
您最有可能收到提示,因为您已将其从域管理员组中删除,并且在 DC 上本地启动应用程序需要这些权限。
您确实需要 RSAT 工具,但由于都是 Mac,如果没有 Windows VM,这将很难。如果您不介意安全风险,您可以尝试在域控制器上禁用 UAC。
域用户默认有权读取所有 AD 对象,因此他们可以通过 ADUC 控制台打开和查看所有对象,但在林、域或 OU 级别被委派控制之前不能进行任何更改。