我有帐户,我不想给它pipe理员权限,只有创buildOU,用户和组。 问题是帐户操作员不能创buildOU,我怎么能为此目的添加一个组? 或者我可以更改帐户操作员组的权限?
该域是用Windows Server 2003制作的。
有两种方法可以做到这一点。
如上所示,进入Active Directory用户和计算机控制台,在您的域的正下方创build一个包含整个域的OU,然后使用委派控制向导根据需要向用户或组提供权限。 该工具可以通过右键单击有问题的OUfind。 由于组织的原因,通常最好创build一个组,并嵌套该组中所有需要pipe理OU和组的组。 这意味着您可以快速添加和删除具有这些权限的用户,而无需进一步更改您的基本分配。
进入“Active Directory用户和计算机”的“查看”菜单,并启用“高级function”选项。 然后,您可以右键单击您所创build的基本域OU或辅助OU,如上所示,然后进入属性。 使用高级视图,每个OU都将拥有自己的安全选项卡。 从那里你可以去每个安全组,并根据组或用户细化地改变这些OU的权限。 如果您进入安全领域的高级视图,您可以将每个权限分解到每个组件中,并根据具体情况或公开地更改它们。
您应该始终尝试基于最低权限在Active Directory中委派任务。
对于您希望委派的任务,只需授予“创build子对象”,“创build子对象组”对象和“创build子组织单位”权限。
为此,最好在您的域对象下立即创build一个OU,创build一个委派访问权限的组,然后使用Laranostz上面概述的步骤在OU上授予上述三个权限。
委派这些任务之后,您还应该确保您validation了您的授权。 有关如何validation授权的更多信息,请访问http://www.activedirsec.com/how_to_verify_delegations.html
还有一个工具可以帮助validation名为“AD的金手指”的代表团。 它是由前微软安全专家devise的,我相信它也得到了微软的认可。
免责声明:我不隶属于上述工具的供应商。 我已经使用了这个工具并且对它进行了高度评价,所以我提到了它,因为validation代理团队非常重要。
看看活动目录的委派function。 我将在您的域中创build一个OU,然后在该OU级别进行委派,而不是在域级别进行委派。 这将保持你的用户locking在这个OU中只创buildOU。 我相信你将不得不进入授权向导的高级权限部分。