我想创建一个采用扁平化方法的新域。我不想拥有多个 OU,以及根据项目和用户位置划分的子 OU,而是想创建组并将用户分组。
例如,所有用户都会被放入一些OU=DC 中的用户=DOM,CN=LOC,然后将创建多个组:
- GRP-LOC-华沙
- GRP-LOC-纽约
然而,我最终考虑如何将权限委托给这些组,以便我可以让经理重置密码(或在华沙执行其他操作)。
由于授权似乎仅按 OU 进行,如果我想进行精细控制(按项目、位置、子位置等),我仍然只能使用 OU?还是有人已经这样做了,而我只是忽略了什么?
答案1
密码管理只能委托给 OU,因为 OU 上的 ACL 条目是通过继承传递给用户对象的。组不会更改其所包含的用户的 ACL。
您应该重新考虑您的计划以平抑您的 AD。
答案2
我建议如下:
1:构建一个作为 Windows 服务运行的程序,该程序可以重置密码并执行适当的组和调用用户检查。该程序可以通过适当使用命名管道来获取调用用户。请参阅https://stackoverflow.com/questions/12026971/get-client-user-token-from-named-pipe。
2:使用域管理员服务帐户将您的程序部署为 runas。
就库存 Windows 而言,Longneck 的回答是正确的。