Server 2012 R2 - 调整活动目录安全组的安全权限

Server 2012 R2 - 调整活动目录安全组的安全权限

我已经创建了一个活动目录安全组。

我想调整安全权限,以便组具有以下权限。已识别的组应该能够将计算机对象添加到安全组,但不能从安全组中删除计算机对象。

我可以调整安全权限,以便用户可以添加/删除安全组。我无法找到要拒绝的正确属性,以防止用户删除计算机对象。

答案1

您无法单独保护这些操作,因为“添加”和“删除”之间没有区别;这两个操作都构成一个成员对象的属性。

答案2

您可以使用计划任务实现几乎相同的事情。

创建 2 个组。第一个是您已有的组,第二个组应设置为相关用户无法管理其成员。

计划任务按顺序执行以下两个步骤:

  • 根据第一个组中的成员向第二个组添加成员。
  • 根据第二个组的成员向第一个组添加成员。

因此,当从第一个组中删除成员时,计划任务会将该成员添加回来,因为他们在第二个组中。

要真正从组中删除成员,必须同时将其从两个组中删除。

相关内容