在我的AD中有ObjectClass设置为设备的对象,我想委托控制给非pipe理员用户,所以他们将能够添加新的和删除现有对象objectClass设置为设备,而不是其他objectClass对象用户,计算机或组。
我正在使用设备类,因为这个类有macAddress属性。 使用New-ADObject命令创build新对象
New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"} 从我所看到的,委托控制向导或ACL编辑器不提供这样的细粒度控制,在那里我可以select自定义objectClass的安全属性应该编辑。
Active Directory中的许可系统绝对可以做你想做的事情。 就像testing一样,我使用ADSIEDIT设置您正在寻找的权限:
导航到我的“设备testing”OU,提出了属性和“高级”安全对话框
在“创build设备对象”和“删除设备对象”上添加“testing设备pipe理员组”组,应用于“此对象和所有子对象”,授予“允许”
添加了第二个访问控制条目(ACE),引用组“testing设备pipe理员组”,应用于“设备对象”,授予“完全控制”权限(可能对您正在寻找的内容太过苛刻但为了一个快速的testing