我有一个名为的服务用户(Active Directory 中的普通用户),user1由我们的自定义应用程序使用,用于管理公司中使用的 Active Directory 的某些方面。
我已经创建了一个名为 的安全组,AD Operators并已将其user1添加到。
我需要user1能够管理 Active Directory 中的其他组成员身份。为此,我已AD Operators通过“管理者”选项卡将该组作为管理员添加到所有相关组中。我还勾选了“管理员可以更新成员列表”复选框。
但是,当代码使用user1的凭据运行并尝试保存更新的组成员身份列表时,我收到来自 AD 的“访问被拒绝”错误。但是如果我user1在“管理者”中指定为组经理而不是指定整个AD Operators组,则相同的代码可以很好地更新该组。
如何让所有特定安全组成员能够管理 AD 中其他组的成员身份?
答案1
这可能不是提供您所寻求的管理委派的合适界面。控制组成员管理的适当方法是通过控制委派向导委派控制。
您应该使用此工具和界面授予“AD 操作员”安全组允许“写入成员”的权限;或者 - 如果按照向导的指导 - 您可以选择“修改组的成员身份”常见任务。
您应该注意以下几点:
- 委派在容器/OU 级别完成。
- 目录对象上的权限通常流动和继承的方式与文件系统权限的方式大致相同。