需要在用户的活动目录中强制安全inheritance

因此，我有一群AD用户，出于某种原因，不要从应用到他们所在的OU的安全中inheritance权限。这是有问题的，因为帐户操作员无法解锁，更改密码等，他们需要能够做到这一点。

我只是想强制所有用户inheritance，但我不知道如何做到这一点。有任何想法吗？

谢谢您的帮助！

如果您在查看下打开高级function ，则可以在dsa启用/禁用inheritance。这将添加一个安全选项卡（等）到对象的属性。在“ 安全”选项卡上，单击“ 高级”button，然后从该对象的父项中选中/取消选中包含可inheritance权限 。

在这里输入图像说明

或者，您可以使用命令行来启用inheritance。 dsacls命令允许您修改域ACL。以下将启用我的用户对象的inheritance：

 dsacls "CN=Jason Scott,OU=Staff,OU=ISC,OU=Buildings & Depts,DC=my,DC=domain,DC=edu" /P:Y

如果需要为大量用户对象设置inheritance，请将上面的代码封装到调用dsquery的FOR循环中。一个非常暴力的例子会是这样的：

 FOR /F "usebackq delims=;" %A IN (`dsquery user -limit 0`) DO dsacls %A /P:Y

如果这些用户自动“自动”inheritance，您可能会看到AdminSDHolder的副作用。如果您从所有AdminSDHolder保护组中删除用户，则应保留其inheritance设置。

帐户操作员默认情况下应具有该域中所有用户对象的权限。此安全性基于User对象上的安全ACL。在AD用户和计算机MMC中，查看并select“高级function”。然后search您怀疑没有inheritance权限的用户并查看属性。 find“安全性”选项卡并点击“高级”button，查看是否选中了“包含来自该对象父级的可inheritance权限”，并且具有适当权限的ACL中列出了帐户操作员组。