背景
我正在创build一项服务,允许支持人员在几小时内启用他们的firecall帐户(即如果晚上出现问题,我们无法获得拥有pipe理员权限的人,支持团队的其他成员可以启用他们的个人AD上的firecall账户,之前已经设置了pipe理员权限)。 该服务还logging了更改的原因,提醒关键人员以及其他一些位,以确保对访问权限的更改进行审计/以便我们可以确保以正确方式使用这些临时pipe理权限。
为此,我需要运行我的服务的服务帐户有权启用活动目录上的用户。 理想情况下,我想locking这个服务帐户只能启用/禁用特定AD安全组中的用户。
题
您如何授予对帐户的访问权限以启用/禁用AD中特定安全组成员的用户?
备份问题
如果安全小组无法做到这一点,有没有合适的select? 即可以通过OU来完成,还是最好编写一个脚本来遍历安全组的所有成员,并更新对象(firecall帐户)本身的权限?
提前致谢。
其他标签
(我还没有权限在这里创build新的标签,所以下面列出,以帮助进行关键字search,直到它可以被标记和这个位被编辑/删除)DSACLS,DSACLS.EXE,FIRECALL,ACCOUNT,SECURITY-GROUP
修改Active Directory(AD)对象属性的权限由访问控制列表(ACL)控制。 ACL将显式应用于对象(无inheritance),或隐式地通过inheritance对象所在的容器(OU或Container对象)进行。
将属性的控制委派给用户或组(除了改变对容器对象(最常见)或单个非容器对象(如用户帐户和计算机帐户)的权限外, – 尽pipe在技术上它们是容器对象)。
ACL 不适用于基于对象的安全组成员资格的对象,这是您要查找的状态。
您最好的select是将您想要委派控制的用户帐户安排到一个OU中,并委派对该OU进行控制。 如果这是不可行的,那么你不能单独修改每个用户帐户的ACL。
大多数第三方身份和访问pipe理软件可以通过代表用户完成请求来处理这种types的访问控制,通常使用域pipe理员凭据(但可以进一步locking)。
不幸的是,Windows本身无法做到这一点:AD中的组成员实际上只是列在组的成员列表中(组的member属性,用于生成memberOf构造的属性),并且在目录中没有结构性含义(回想一下,AD主要只是LDAP)。 相比之下,AD中的权限是在结构上定义的,因此您可以根据组未定义的层次结构为子树(如域,OU或单个用户)授予帐户特定的权限。 该结构基于域和OU,类似于任何其他LDAP树。 如果用户的DN(专有名称)中没有出现任何内容,则不能用它来pipe理目录权限。
代表团。 您需要将写入权限委托给该对象的userAccountControl属性。
此代表团可以应用于安全组的成员。