我已经创建了一个活动目录安全组。
我想调整安全权限,以便组具有以下权限。已识别的组应该能够将计算机对象添加到安全组,但不能从安全组中删除计算机对象。
我可以调整安全权限,以便用户可以添加/删除安全组。我无法找到要拒绝的正确属性,以防止用户删除计算机对象。
答案1
您无法单独保护这些操作,因为“添加”和“删除”之间没有区别;这两个操作都构成一个写在成员对象的属性。
答案2
您可以使用计划任务实现几乎相同的事情。
创建 2 个组。第一个是您已有的组,第二个组应设置为相关用户无法管理其成员。
计划任务按顺序执行以下两个步骤:
- 根据第一个组中的成员向第二个组添加成员。
- 根据第二个组的成员向第一个组添加成员。
因此,当从第一个组中删除成员时,计划任务会将该成员添加回来,因为他们在第二个组中。
要真正从组中删除成员,必须同时将其从两个组中删除。