Joh*_*van 3 security active-directory service-accounts groups
背景
我正在创建一项服务,以允许支持人员在下班时间启用他们的 Firecall 帐户(即,如果晚上出现问题并且我们无法找到具有管理员权限的人,支持团队的另一名成员可以启用他们的个人AD 上的 firecall 帐户,该帐户以前已设置为具有管理员权限)。该服务还会记录更改的原因、提醒关键人员以及其他一些信息,以确保审核此访问更改/因此我们可以确保以正确的方式使用这些临时管理员权限。
为此,我需要运行我的服务的服务帐户有权在 Active Directory 上启用用户。理想情况下,我想将其锁定,以便服务帐户只能启用/禁用特定 AD 安全组中的用户。
题
您如何授予对帐户的访问权限以启用/禁用属于 AD 中特定安全组成员的用户?
备份问题
如果安全组无法做到这一点,是否有合适的替代方案?即它可以由OU完成,还是最好编写一个脚本来遍历安全组的所有成员并更新对象(firecall帐户)本身的权限?
提前致谢。
附加标签
(我还没有权限在这里创建新标签,所以在下面列出来帮助关键字搜索,直到它可以被标记并被编辑/删除) DSACLS、DSACLS.EXE、FIRECALL、ACCOUNT、SECURITY-GROUP
修改 Active Directory (AD) 对象属性的权限由访问控制列表 (ACL) 控制。ACL 显式(无继承)或通过从对象所在的容器(OU 或容器对象)继承而隐式应用于对象。
将属性的控制权委托给用户或组(您应该几乎总是将权限委托给组,顺便说一句)只不过是更改容器对象(最常见)或单个非容器对象(如用户帐户和计算机帐户)的权限 - - 不过,从技术上讲,它们是容器对象)。
ACL不会根据对象的安全组成员身份应用于对象,这正是您声明要查找的内容。
最好的办法是安排要委派控制权到 OU 的用户帐户,然后委派对该 OU 的控制权。如果这不可行,那么您将不得不单独修改每个用户帐户上的 ACL。
| 归档时间: |
|
| 查看次数: |
1992 次 |
| 最近记录: |