我正在将一些Active Directory任务委托给一组用户。 这些用户没有域pipe理权限,只能执行任务,如在单个OU中创build/禁用帐户。 我有两个问题:
a)为了使用户能够从他们的工作站执行这些操作,除了安装远程服务器和pipe理工具之外,还有其他方法吗? 我能否以某种方式只安装“Active Directory用户和计算机”pipe理单元?
b)尽pipe使用mmc.exe创build了自定义ADpipe理单元,因此要pipe理的单个OU位于根目录中,但我仍然惊讶于用户仍然具有对整个AD域结构的读取访问权限。 这是devise还是让我的权限在某处出错?
非常感谢!
a)为了使用户能够从他们的工作站执行这些操作,除了安装远程服务器和pipe理工具之外,还有其他方法吗? 我能否以某种方式只安装“Active Directory用户和计算机”pipe理单元?
ADUC是RSAT的一部分。 他们需要安装,除非他们想要使用命令行net use命令,这将不是非常有效的。
b)尽pipe使用mmc.exe创build了自定义ADpipe理单元,因此要pipe理的单个OU位于根目录中,但我仍然惊讶于用户仍然具有对整个AD域结构的读取访问权限。 这是devise还是让我的权限在某处出错?
这是正常的和预期的。 Amost在你的AD中没有什么是秘密的,在大多数情况下,没有任何理由。 即使您没有为这些用户(或任何用户)安装ADUC,他们仍然可以使用dsquery , net use或Get-AD* PowerShell cmdlet收集有关您的域的信息。
别担心,没有什么问题。 这是应该的。
经过身份validation的用户对域根目录具有READ权限(以及其他一些权限)。 这些权限由域中的所有子对象(AFAIK)inheritance,并与Active Directory的操作相关,它是函数和对象。 这些权限与授权不直接相关。
你在正确的轨道上。 您不应该担心委派的pipe理员对Active Directory具有完全的读取权限,因为事实上,几乎所有人(即所有经过身份validation的用户)都已经拥有对Active Directory的完全读取权限,因为它毕竟是一个目录服务,因此可以访问大家。
关于委托pipe理员可以访问ADUC / RSAT的全部function,即使function可能存在,如果他们没有执行这些任务的基础许可,他们将不能执行这些任务,因此他们将无法做任何他们无法做的事情。
所以让他们使用ADUC是可以的。 您只需确保在Active Directory中所需的权限最小,即可完成其分配的职责。