在我们的 Active Directory(2008 R2)中,我使用委派授予一组非管理员用户编辑用户信息属性(例如电话号码、职称、邮政地址等)的权限。
该组的成员现在可以编辑大多数用户的信息,但无法编辑管理员的信息。但为什么呢?我没有找到任何可能导致这种情况的“拒绝”条款。
答案1
可能是 SDAdminHolder 功能。它会阻止受保护组成员帐户的权限继承。您可以通过检查帐户上的权限以及帐户父容器的权限来确认这一点。
Active Directory 写入权限允许编辑用户信息,但不允许编辑管理员用户信息