我们有一台运行 Active Directory 的 Windows 2008R2 服务器,我编写了一个 C# 应用程序,允许 IT 人员从该服务器向 AD 添加新用户。创建或更新用户时我没有遇到任何问题,但是当需要将用户添加到不同的安全组时,我遇到了权限问题。与 IT 部门合作后,我们发现我需要具有读取、写入、创建子对象和删除子对象的权限。当我们将这些权限直接指定给安全组时,现在运行正常,但是如果我们在 OU 级别应用这些相同的权限,那么我无法修改各个组的成员。有人能帮我们弄清楚需要在 OU 级别授予哪些权限,以便我可以向该 OU 中的任何组添加/删除成员吗?
答案1
答案2
有一个方便的来自微软的指南。它是关于 Windows Server 2003 写的,但实际仍有 98%。它将很有用,需要在 Active Directory 中有选择地委派权限。
/I
关于ACL继承选项可以在key的描述中找到dsacls 实用程序。
还应该牢记管理员SDHolder机制在委派权利时可能会引起意外问题。
要委派在特定 OU(包含组)中添加/删除组成员的权限,您需要执行以下命令:
dsacls <full distinguished name of OrganizationalUnit> /I:S /G "<secutity name>:WP;member;group"
在哪里:
<full distinguished name of OrganizationalUnit>
- 您想要委派更改组权限的组织单位的完整专有名称。
<secutity name>
- 用户或(更好)组名,将被委托给权利人。