我正在尝试委派用户在 Active Directory 中创建 OU 的权限,严格作为组织和排序委派 OU 下对象的选项。但是,一旦我授予权限,用户就可以更改他创建的新 OU 上的安全规则并获得完全控制权限,随后允许自己创建新的用户帐户等。
有没有办法可以防止这种安全漏洞?
答案1
听起来您授予了过多的访问权限。您需要授予允许:“创建组织单位”权限,范围为“后代组织单位”,以实现此目的。以下是一些屏幕截图:
需要选择的范围(或“适用于”):
需要选择的权限:
ACE 完成后的样子如下:
-- 这将不允许代表实际更改/重命名任何 OU(如果出现拼写错误)。这将严格允许代表创造组织单位。