委派控制 – Windows Active Directory

试图为Active Directory域创build站点pipe理员用户帐户。使用Active Directory委托授权向导。一个用户帐户已经授予了一个OU的权利。但是，在尝试使用权限时，某些选项会变灰。当前设置允许网站pipe理员编辑由网站pipe理员创build的帐户，值不会变灰。当站点pipe理员尝试编辑由域或企业pipe理员创build的用户帐户时，某些区域变灰。

具有pipe理员权限的用户帐户，但仅限于OU，并且是子级用户。是理想的。

由管理员创建VS由网站管理员创建

在probmatic OU中有〜50个用户对象8，那些对象inheritancepwdLastSet值。右侧的图像显示了一个inheritance特权的对象。左侧的图像显示了一个用户对象，没有。他们在同一个OU。

在大多数对象的安全选项卡中，doe snot拥有我的帮助台组，而右边的图像的“安全”选项卡具有带有权限的HelpdeskGroup。

由于某些原因，权限正在被一些但不是全部的对象激活。

更新

我尝试了与另一个不同森林中的OU，结果相同步骤1在林中创build一个新的用户帐户步骤2右边OU委派控制步骤3select我的新用户选中所有框使用我的新DelegatedAdmin帐户导航到UO。 OU中有4个用户。用户1和2我无法编辑。用户3和4我可以按预期进行编辑。在这里输入图像说明

更新

我与testing用户和testingpipe理员/帮助台用户进行了testing。在这些testingOU的一切正常，因为它应该。我担心现在我的全局编录或模式有问题。

检查两个对象的权限。要查看权限，可以像查看文件或文件夹一样查看“ 安全 ”选项卡。

由于没有“ 安全性 ”选项卡，因此您需要转到“Active Directory用户和计算机”中的“ 查看”菜单，然后select“ 高级function” 。然后，您将能够看到安全选项卡并validation对象的权限。

在Active Directory中创build的对象具有授予创build者/所有者的“创build者所有者”权限。这可能有意想不到的效果。例如，以前的一位桌面技术人员发现，尽pipe他没有明确的许可，但是他可以从AD中删除一些电脑，但只有当他join电脑的时候才可以。这是因为他是PC对象的创build者，所以对它有特殊的权限。

你对杰克的回答的陈述：“在我将权限授予站点pipe理员之后创build的任何对象显示站点pipe理员完全控制，有几千个用户是在手之前完成的，”向我暗示，类似的事情正在发生。我想如果你拉起由siteadmin创build的对象之一，并select安全 – >高级 – >所有者，你会发现你的siteadmin拥有该对象。

如果您希望siteadmin完全控制该OU，则可能需要在Jack提到的高级function下的security选项卡中明确授予该权限。解锁/更改密码可能是修改。