我试图提供几个pipe理员的任务小组来操作在OU级委托给他们的几个任务。我遇到了以下问题;
可以说我委派了对OU X上pipe理员的访问权限,并且可以修改样本组X1等组,他必须能够将任何用户从OU X添加到组X1。
这里的问题是,当testing我发现pipe理员可以做到上面的,但也可以添加一个用户Y1从OU Y(他没有委派的权限)到组X1.我缺less什么? 如何限制pipe理员从OU中添加用户到他修改访问的组?
请问我是否需要更多的细节/说明。
你不能这样做。 如果您允许用户将用户添加到组中,则可以添加其帐户可以读取的任何用户。 由于您需要从根本上改变AD权限的布局方式,以限制有限的用户帐户读取其他用户的基本属性,因此通常是一个不受支持的configuration,会破坏大量您不打算破坏的事情。
简而言之,只要[用户]存在于这个OU中,就不需要对默认AD权限布局进行重大修改,就可以说“只要将[用户]添加到此组中,就没有真正的function。