在我们的活动目录(2008 R2)中,我使用授权来授予编辑用户信息属性,如电话号码,标题,邮政地址,…给一组非pipe理员用户。
现在这个组的成员现在可以编辑大多数用户的信息,但是他们不能编辑pipe理员的信息。 但为什么? 我没有发现任何可能造成这种情况的“拒绝”条款。
可能是SDAdminHolderfunction。 它阻止对受保护组成员帐户的权限inheritance。 您可以通过检查帐户的权限以及帐户父容器的许可来确认。