我所在的大型组织在林中有多个域,每个域中都有许多 OU。域管理员将 OU 的管理权委托给在 OU 中工作的 IT 人员。我就是其中一名 IT 人员。我可以在我们的 OU 中创建和删除子 OU,我们被赋予了管理适用于我们的 GPO 的能力。等等。我们有地理上分开的组,我们为这些组创建了单独的子 OU,并将管理这些 OU 的能力委托给那里的人员。
在其中一个站点,我们有一个组可以完全控制他们所在的 OU,但我们无法修改他们创建的任何组。例如,如果我想将帐户添加到 OU 中的组,我没有这个能力,即使我完全控制它所在的 OU。我意识到安全组在安全选项卡中有一个 ACE 列表,但我没有在那里获得权限。
有什么方法可以强制将我选择的组添加到我们 OU 下所有安全组的 ACE 列表中?
答案1
您可以从顶级 OU 高级安全性的属性选项卡中将您选择的组的“读/写成员”权限委托给“子组对象”。这将继承该级别以下所有 OU 中的所有组对象,并允许您的组成员更改组成员资格。
您的下一个问题是验证所有这些组对象上是否启用了继承。
您真正需要的是明确定义的 Active Directory 委派模型。标准化 OU 结构对于实现此委派模型非常重要。当您四处添加此类一次性权限时,AD 中的事情很快就会变得非常混乱。作为最佳实践,AD 权限应锁定、标准化,并且仅委派给安全组。
答案2
在您的 Active Directory 用户和计算机代码片段中,首先选择显示高级功能。
之后,右键单击要更改 ACE 的组,之后它就像 NTFS ACE 一样。在最低限度中,您可以选择传播父安全性,由于您无权访问,我猜父安全性没有应用于它。