Cor*_*att 3 active-directory delegation windows-server-2012
我将一组用户委派给一个特定的人,以便能够跟上他们的帐户管理,并且我已将执行此操作的权限委派给该组。有没有办法限制同一个人查看 ADUC 上的组策略或其他组织单位?
提前感谢您的时间。
是的,但它很复杂。您需要做的是将您的域置于列表对象模式。这是通过在 ADSI 编辑中将配置命名上下文中的 dsHeuristics 属性中的第三个数字设置为 1 来完成的。
http://technet.microsoft.com/en-us/library/cc546864.aspx
完成此操作后,您将解锁列表对象模式,您将看到该模式为可分配给 Active Directory 对象的新权限或 ACE。
这让人想起 Windows 安全中的“绕过遍历检查”特权,它允许用户遍历他们无权访问的文件夹,以便访问他们有权访问的文件夹。
您通常会在多租户环境中看到 AD 列表对象模式,在这种环境中,多个客户共享同一个 AD 域,并且您不希望他们能够看到彼此的内容。
但是请记住,除非您对权限非常非常精确,否则您会在客户端上遇到组策略应用程序错误。客户端上的 GP 引擎需要读取 gpLink、读取 gpOptions、读取 cn 和读取链中每个 OU上的专有名称,从它们所在的位置一直到域的根,否则 GPO 应用程序将失败。
| 归档时间: |
|
| 查看次数: |
3477 次 |
| 最近记录: |