我正在把一组用户委派给一个特定的人来跟上他们的账户pipe理,我已经授权他们对这个小组这样做。 有没有办法可以限制同一个人查看ADUC的组策略或其他组织单位?
感谢您的时间提前。
是的,但是很复杂。 你需要做的是把你的域名列表对象模式。 这是通过在ADSI编辑中将configuration命名上下文中的dsHeuristics属性中的第三个数字设置为1来完成的。
http://technet.microsoft.com/en-us/library/cc546864.aspx
一旦你这样做了,你将解锁列表对象模式,你会看到一个新的权限或ACE,你可以分配给Active Directory对象。
这让人联想到Windows安全中的“绕过遍历检查”权限,允许用户遍历他们没有权限的文件夹,以便访问他们有权访问的文件夹。
您主要看到在多租户环境中使用的AD列表对象模式,其中您有多个客户共享相同的AD域,并且您不希望他们能够看到彼此的东西。
请记住,除非您对权限非常非常确切,否则您将遇到您的客户端上的组策略应用程序错误。 客户端上的GP引擎需要读取gpLink,读取gpOptions,读取cn,然后从链中的每个OU上读取可分辨名称,直到域的根,否则GPO应用程序将失败。
希望这可能有所帮助:
自定义MMC指南