我们正在使用taskpads删除任务(如重置密码)到远程pipe理员; 代表团是在OU级完成的; 但不幸的是,OU包含了一些特殊的账户/组(例如应用程序账户和pipe理员组)。 我们不想让远程pipe理员弄乱他们。 是否有任何办法使这些组和用户帐户可以远程pipe理员访问,尽pipe他们是在OU级委派的?
– >如果我们能让他们对远程pipe理员看不见,但我不认为它是合理的。 – >这些帐户/组不能从有关的OU中移出
请给出你的要求,如果有任何问题或澄清,请告诉我。
如果您委派了pipe理用户帐户所需的最低权限(重置密码,读取属性,写入属性以及仅在用户帐户上解锁帐户),那么他们将无法对组执行任何操作,因此这是非法的-问题。 如果您已正确委派了权限,则它们在同一个OU中的事实并不重要。
试图做一些事情让用户无法阅读组是可能的,但是这并不是解决这个问题的正确答案,并且可能会导致问题的出现,因为所有用户都可以读取所有组成员的默认行为。 打破这可能会有意想不到的后果,特别是与第三方应用程序或LDAP的东西,但也许不知道AD。
在禁用inheritance后,您可以从组和帐户对象的ACL中撤销“读取”和/或“写入”权限,以便OU ACL不会传播到这些对象 – 有关ACL和inheritance的详细信息,请参阅文档 。
要使这些对象对于没有读取权限的用户不可见,您必须在您的目录上启用列表对象模式,并为有问题的容器对象设置List对象ACE。 有关详细信息,请再次参阅文档 。