我想代表用户能够清理AD,允许他在几个OU之间移动用户(并且只做这个)。 我怎样才能做到这一点?
我想扩展用户权限,我已经使用此方法给予Active Directory中授予权限添加用户/修改/更改密码/添加他们分组,但不删除他们
通常的做法是使用Active Directory用户和计算机控制台pipe理单元的一部分“授权控制”向导授予相关OU的权限。
你将不得不select你想要受影响的对象types。 在你的情况下,这显然将是“用户”的对象types。 但是没有“移动”的许可,您将不得不授予相应的OU的对象创build和删除权限。 这样做显然会允许用户对象删除,但这是如何工作的 – 移动是一个创build/删除操作。 有关详细参考,请参阅Microsoft知识库文章KB818091 。