在 Windows 2008r2 域和林功能级别中,我尝试将用户帐户管理和“密码重置/强制更改”委托给我的活动目录中的特定用户组,但我不想授予他们删除用户帐户的权限。有办法完成这项任务吗?
请注意:我尝试了很多方法...使用委托控制向导选择委托常见任务“创建、更改、删除用户帐户”,然后拒绝“删除”和“删除子树”权限;创建自定义任务以仅允许创建用户帐户对象...但这些方法都没有奏效。(我创建了帐户,但错误消息指出我没有足够的权限创建帐户,因此会创建然后禁用它...)
有任何想法吗?
答案1
我可以说我找到了答案这其他服务器故障问题。很抱歉给您带来不便,感谢您的帮助。
答案2
您需要为此权限创建一个安全组,然后选择您想要委派控制的 OU。
从那里:
选择安全组并点击下一步。
选择Create a custom task to delegate,然后点击下一步
选择以下权限:
Create User ObjectsRead All PropertiesWrite userPassword
这应该会为您的用户提供足够的权限来创建帐户、读取他们的信息和设置他们的密码。
如果您想允许这些用户设置任何其他字段,只需选择Allow该字段的写权限。