在 Windows Server 2008 上,是否可以创建一个本地组或用户,并赋予其添加其他用户的权限,但拒绝其删除其他用户的权限?使用 Active Directory 不是一种选择。
如果可能的话,我该如何实现?我一直在本地组策略编辑器中查找,但找不到与这些权限相关的任何内容。
答案1
不是作为 Windows 权限或特权。这通常会被授予容器级别权限,例如 OU,但您也可以将其分配到更高的级别。
通常使用这种方法,您可能会发现还需要授予管理用户对象的权限(允许 ACE 读/写所有属性),并且可能还限制其他活动,例如重新启用已禁用的帐户(拒绝“属性”选项卡上 userAccountControl 属性的 ACE)。
您可能需要进行测试以确保它能按预期工作。
