需要在用户的活动目录中强制安全继承
所以我在 AD 中有一群用户出于某种原因,不从应用于他们所在 OU 的安全性继承权限。这是有问题的,因为帐户操作员无法解锁、更改密码等,他们需要能够做到这一点。
我只想对所有用户强制继承,但我不知道该怎么做。有任何想法吗?
谢谢您的帮助!
dsa如果在View下打开Advanced Features,则可以启用/禁用继承。这将向对象属性添加一个安全选项卡(以及其他选项卡)。在“安全”选项卡上,单击“高级”按钮并选中/取消选中“包括来自此对象父级的可继承权限”。
或者,您可以使用命令行来启用继承。该dsacls命令允许您修改域 ACL。以下内容将为我的用户对象启用继承:
dsacls "CN=Jason Scott,OU=Staff,OU=ISC,OU=Buildings & Depts,DC=my,DC=domain,DC=edu" /P:Y
如果您需要为大量用户对象设置继承,请将上述内容包装在一个FOR调用dsquery. 一个非常暴力的例子是这样的:
FOR /F "usebackq delims=;" %A IN (`dsquery user -limit 0`) DO dsacls %A /P:Y
如果这些用户自动“取消继承”自己,您可能会看到AdminSDHolder的副作用。如果您从所有受 AdminSDHolder 保护的组中删除用户,他们应该保留其继承设置。
| 归档时间: |
|
| 查看次数: |
18255 次 |
| 最近记录: |