我想添加委托用户的能力:
基本上用户除了删除账号之外,还可以用账号做大部分事情。 我尝试使用委托控制向导,但常见的任务太宽(通常包括删除部分),所以我需要进入自定义任务委托。
这是我select的选项:
但最后的权限页面非常宽,我不想给用户太多的权力。 任何人都可以分享哪些选项是必要的指定的问题? 作为这个扩展写每个选项意味着什么,它分配什么样的权力?
要将域用户的权限委托给:
我不得不创build2个组,因为当我select多个用户对象时,委派向导不会让我指定在每个用户对象上select什么。 所以我决定创build2个组。 一个用于用户pipe理,另一个用于组pipe理。
首先需要这个步骤:
Delegate Control Next Next Create a custom task to delegate然后selectNext Only the following objects in the folder并转至列表底部并selectUser objects 。 select更多,然后只是一个条目不会给你的可能性粒度select的属性改变的可能性。 Create selected objects in this folder然后按Next select:
这允许创build用户并启用/禁用用户,但不能删除它。 此时用户不能更改组成员,因为这必须以不同的方式完成。
您应该查看用户对象上可用的ACE,并将您需要的委派减去Delete ACE。
虽然,只给予你可以信任的人不要删除你的对象的这些types的权利是更好的做法。 肯定会有事故发生,但正如我之前提到的,有备份和其他方式(防止意外删除,AD回收站)从中恢复。