我想用平坦的方法创build一个新的域。 而不是根据项目和子项目来划分多个OU,我想创build组并将用户分组。
例如,所有用户都将被放在DC = DOM,CN = LOC的OU = Users中 ,然后创build多个组:
然而,我最终想到如何委派这些组的权限,以便我可以有经理重置密码(或在华沙做其他行动)。
因为看起来委托是按OU单位完成的,所以如果我想要精细控制(每个项目,位置,子位置等),我仍然坚持OU。 或者有人已经做了,我只是失去了一些东西?
密码pipe理只能委派给OU,因为OU上的ACL条目通过inheritance传递给用户对象。 组不会更改它们包含的用户的ACL。
你应该重新考虑你的计划,以平息你的广告。
我build议如下:
1:构build一个作为Windows服务运行的程序,可以重置密码并执行相应的组和调用用户检查。 该程序可以通过适当使用命名pipe道来获取调用用户。 请参阅https://stackoverflow.com/questions/12026971/get-client-user-token-from-named-pipe 。
2:使用域pipe理员服务帐户将您的程序部署为runas。
就股票Windows而言,Longneck的回答是正确的。