我在一个森林中有多个域的大型组织,每个域都有很多OU。 域pipe理员将OU的pipe理委派给在OU中工作的IT人员。 我是那些IT人员之一。 我可以在我们的OU中创build和删除子OU,我们已经分配了pipe理适用于我们的GPO的能力。 等等。我们有地理上分开的小组,我们已经创build了不同的子OU,并委派了将这些OUpipe理给那里的人员。
在其中一个站点,我们有一个完全控制他们所在的OU的组,但我们无法修改他们创build的任何组。 例如,如果我想为OU中的一个组添加一个帐户,即使我完全控制了它所在的OU,我也没有这种能力。我知道安全组在安全性中有一个ACE列表标签,我没有被授予权限。
有没有一种方法可以强制我的select组被添加到我们OU下所有安全组的ACE列表中?
您可以将一组您所select的“读/写成员”权限从顶级OU高级安全性的属性选项卡委托给“受控组对象”。 这将inheritance所有低于该级别的OU中的所有组对象,并允许组的成员更改组成员资格。
您的下一个问题是validation在所有这些组对象上启用了inheritance。
您真正需要的是为Active Directory定义明确的委派模型。 标准化OU结构对于实施这种委托模式很重要。 在AD中,当你添加一次性权限时,事情可能会非常快速地混淆。 作为最佳实践,AD权限应该被locking,标准化,并且只能委派给安全组。
在您的Active Directory用户和计算机snipplet首先select显示高级function。
之后,右键单击要更改ACE的组,然后像NTFS ACE那样。 在最低限度,你可以select传播父安全,因为你没有访问我猜父安全没有应用它。