我在Active Directory域环境中运行Server 2008 R2。
我在Active Directory中创build了一个组,并将pipe理权限授予给用户。
我希望这个用户能够根据需要添加和删除这个账户,这样他们就可以在不给他们其他权限的情况下进行一些测量。
当我让用户尝试访问Active Directory用户和计算机控制台时,会提示他们inputpipe理员凭据。 他们使用远程桌面访问服务器,因为他们没有Windows 7,防火墙规则阻止使用远程pipe理工具包。
我不想为他们提供任何级别的pipe理权限,除了他们从该组添加/删除用户所需的最低限度。
有两台服务器在这个孤立的环境中相互“对话”,域控制器和成员服务器都只能通过RDP访问。
有什么build议么?
根据这个问题的评论,你有没有试过把用户添加到“超级用户”组?
另外,如果他们在UAC提示中只说“不”,会发生什么? 我期望MMC能够正常打开。 是不是这样? 如果它仍然打开,你可以使用TweakUAC来禁用提示。
我的猜测是,运行ADUC是从内置的自动权限提升规则,从该pipe理单元或从mmc.exe作为一个整体。 如果上述build议都不起作用,我会尝试运行该工具的变体:直接运行pipe理单元.msc文件,在某处复制.msc然后运行。
感谢上述build议,这就是我最终解决问题的方法。
为了在Windows Server 2008 R2中打开Active Directory用户和计算机MMC控制台,用户至less需要成为“帐户操作员”权限组的一部分。
所以,我把用户放在一个组中,并把这个组放在账户运营商组中。 这允许他打开控制台。
为了限制他只操作我需要的一个组,我去了,并特别添加了“拒绝读取”权限到域中的每个其他OU到用户所在的组中。所以当用户打开ADU&C控制台他唯一看到的就是他实际上有pipe理层控制的一个组织和一个组织。
不完全是最eletion的解决scheme,但它的工作。
您可以将managedby属性添加到安全组,即具有向该特定组添加/删除用户的用户帐户。
将用户添加到默认域控制器策略中的“允许本地login”。
组策略pipe理 – >默认域控制器策略
编辑计算机configuration/策略/ Windows设置/安全设置/本地策略/用户权限分配/允许本地login
在命令提示符下执行gpupdate后,使用该用户帐户login到DC,并提供用户凭据。 现在你的要求将被实现。