我需要允许HR人员为所有Active Directory用户(电话号码,地址和类似的联系信息)编辑一些属性,而不给他们全部的pipe理权限。 他们将需要在所有用户帐户上编辑这些属性的权限,而不pipe他们在哪个OU中。这个安全设置也应该在创build时自动应用到新的用户帐户。
我怎样才能做到这一点?
您想要在Active Directory用户和计算机中使用委托权限选项。 您可以将委派应用到任何您想要的OU,包括域根。
这将允许您将所需的任何属性级权限委托给您定义的任何用户/组。
这些权限适用于任何其他方面,并尊重inheritance。
在ADUC中,“控制委派”向导将允许您使用委派的自定义任务执行此操作。 select你想让他们有写权限的字段。