事情是这样的:我为 Active Directory 用户和计算机编写了一个模板,以便我们的分支机构可以自行在各自的 OU 中添加/删除/重命名计算机(而不授予他们对计算机对象的完全控制权)。
因此它有点受限于“不是那么完全的控制”。它大多数时候都能正常工作。但有些计算机中有子对象。例如 AD 发布的打印机或有时是其他一些东西,例如“RouterIdentity”容器。
我如何向本地管理员组授予其各自 OU 的权限,以便他们可以删除计算机对象以及这些计算机对象内的任何对象?
目前(就 delegwiz.inf 文件而言)我授予这些组创建和删除计算机对象的权限,但这不足以删除任何子对象。
[TemplateXX.SCOPE] 计算机=CC,DC