Active Directory:如何委派 OU 创建而不允许完全控制?

Active Directory:如何委派 OU 创建而不允许完全控制?

我正在尝试委派用户在 Active Directory 中创建 OU 的权限,严格作为组织和排序委派 OU 下对象的选项。但是,一旦我授予权限,用户就可以更改他创建的新 OU 上的安全规则并获得完全控制权限,随后允许自己创建新的用户帐户等。

有没有办法可以防止这种安全漏洞?

答案1

听起来您授予了过多的访问权限。您需要授予允许:“创建组织单位”权限,范围为“后代组织单位”,以实现此目的。以下是一些屏幕截图:

需要选择的范围(或“适用于”): 范围选择

需要选择的权限: 权限条目

ACE 完成后的样子如下: 最终访问控制条目

-- 这将不允许代表实际更改/重命名任何 OU(如果出现拼写错误)。这将严格允许代表创造组织单位。

相关内容