我用 Java 编写了一个 LDAPS 方法来创建 AD 帐户。我发现,只有当用于创建帐户的域管理员帐户存在于同一 OU 树中时,我才能创建帐户
此处的域管理员
- OU=员工,OU=用户,OU=TEST_COLLEGE,DC=公司,DC=本地
可以在这里创建用户
- OU=学生,OU=用户,OU=TEST_COLLEGE,DC=公司,DC=本地
但是,此处的域管理员无法
- CN=用户,DC=公司,DC=本地
这是 LDAP/AD 的正常权限/安全行为吗?
答案1
不,这不是正常行为。您的代码可能有问题。域管理员成员应该能够在任何地方创建用户。