我已经提供了一个服务,可以在用户通过电话validation自己的身份后重置,更改密码,解锁已locking的帐户,以及读取某些域用户的ADconfiguration文件值(例如sn,名字等)。 在目标域服务器上,存在能够执行这些任务的特权帐户。 我使用.NET框架目录服务API并使用特权帐户来执行任务。 到目前为止,我的特权帐户基本上是一个域pipe理员,并有能力做到更多的方式需要。 现在,作为试运行的一部分,我只需要知道为了完成这些任务而需要具备的确切的策略:
有人可以列出所需的权限,我可以configuration一个特殊的帐户,使其成为部署文档的一部分。
您正在查找的function是Active Directory权限委派 。 它允许您指定用户或组权限来执行重置密码,编辑特定的Active Directory属性等。
设置它就像在Active Directory用户和计算机上右键单击OU一样简单,然后select“委派控制…”。 你也许可以在没有阅读微软文档的情况下弄清楚,但是我build议你阅读它。