cha*_*zjn 4 permissions active-directory windows-7 domain-controller windows-server-2008-r2
我正在将一些 Active Directory 任务委派给一组用户。这些用户没有域管理权限,只会执行诸如在单个 OU 中创建/禁用帐户之类的任务。我有两个问题:
a) 为了让用户能够从他们的工作站执行这些操作,除了安装远程服务器和管理工具之外还有其他方法吗?我可以以某种方式只安装“Active Directory 用户和计算机”管理单元吗?
b) 尽管使用 mmc.exe 创建自定义 AD 管理单元,因此要管理的单个 OU 位于根目录,但我惊讶地发现用户仍然对整个 AD 域结构具有读取访问权限。这是设计使然还是我的权限在某处出错了?
非常感谢!
经过身份验证的用户按照设计在域根目录中具有 READ 权限(以及一些其他权限)。这些权限由域 (AFAIK) 中的所有子对象继承,并且与 Active Directory 的操作、它的功能和它的对象有关。这些权限与授权委托没有直接关系。