我们有一台运行 Active Directory 的 Windows 2008R2 服务器,我编写了一个 C# 应用程序,允许 IT 人员从该服务器向 AD 添加新用户。创建或更新用户时我没有遇到任何问题,但是当需要将用户添加到不同的安全组时,我遇到了权限问题。与 IT 部门合作后,我们发现我需要具有读取、写入、创建子对象和删除子对象的权限。当我们将这些权限直接指定给安全组时,现在运行正常,但是如果我们在 OU 级别应用这些相同的权限,那么我无法修改各个组的成员。有人能帮我们弄清楚需要在 OU 级别授予哪些权限,以便我可以向该 OU 中的任何组添加/删除成员吗?
答案1
需要访问控制条目来授予后代组对象上的指定安全主体权限以更新成员属性:
答案2
有一个方便的来自微软的指南。它是关于 Windows Server 2003 写的,但实际仍有 98%。它将很有用,需要在 Active Directory 中有选择地委派权限。
/I关于ACL继承选项可以在key的描述中找到dsacls 实用程序。
还应该牢记管理员SDHolder机制在委派权利时可能会引起意外问题。
要委派在特定 OU(包含组)中添加/删除组成员的权限,您需要执行以下命令:
dsacls <full distinguished name of OrganizationalUnit> /I:S /G "<secutity name>:WP;member;group"
在哪里:
<full distinguished name of OrganizationalUnit>- 您想要委派更改组权限的组织单位的完整专有名称。
<secutity name>- 用户或(更好)组名,将被委托给权利人。