Делегирование управления - Windows Active Directory
Попытка создать учетную запись администратора сайта для домена Active Directory. Использование мастера делегирования прав доступа Active Directory. учетная запись пользователя получила права в подразделении. Тем не менее, при попытке использовать права доступа некоторые параметры недоступны. Текущие настройки позволяют администратору сайта редактировать учетные записи, созданные администратором сайта, значения не отображаются серым цветом. Когда администратор сайта пытается редактировать учетные записи пользователей, созданные администратором домена или предприятия, некоторые области выделяются серым цветом.
Учетная запись пользователя, которая имеет все полномочия администратора, но ограничена OU и его дочерними элементами. Желательны.
В пробной OU есть ~50 пользовательских объектов, 8 из которых наследуют значение pwdLastSet. Изображение справа показывает один из объектов, которые наследуют разрешения. левое изображение показывает объект пользователя, который не имеет. они в том же подразделении.
На вкладке "Безопасность" для большинства объектов нет моей группы HelpDesk, в то время как на вкладке "Безопасность" на правом изображении есть группа Helpdesk с разрешениями.
по некоторым причинам разрешения наследуются некоторыми, но не всеми объектами.
Обновить
Я попытался использовать другое подразделение в другом лесу с теми же результатами. Шаг 1: создать новую учетную запись пользователя в лесу. Шаг 2, правый OU: делегировать управление, шаг 3, выбрать моего нового пользователя, установить все флажки. Используя мою новую учетную запись DelegatedAdmin, я перехожу к UO. В подразделении 4 пользователя. Пользователи 1 и 2 Я не могу редактировать. Пользователь 3 и 4 Я могу редактировать, как ожидалось.
Обновить
Я сделал тестовую OU с тестовыми пользователями и тестовым администратором / пользователем службы поддержки. в этих тестовых подразделениях все работает точно так, как должно. Я боюсь, что что-то не так с моим Глобальным каталогом или Схемой на данный момент.
2 ответа
Проверьте разрешения для обоих объектов. Чтобы просмотреть разрешения, вы просматриваете вкладку "Безопасность" так же, как и файл или папка.
Поскольку вкладка "Безопасность" отсутствует, вам нужно перейти в меню " Вид" в Active Directory - пользователи и компьютеры и выбрать " Дополнительные функции". После этого вы сможете увидеть вкладку безопасности и проверить права доступа к объектам.
Объекты, созданные в Active Directory, имеют разрешения "Владелец-создатель", предоставленные, в общем, Создателю / Владельцу. Это может иметь неожиданные последствия. Например, один из специалистов по настольным компьютерам на предыдущей работе обнаружил, что он может удалять некоторые компьютеры из AD, хотя у него нет явного разрешения на это, но только если он был тем, кто их добавил. Это было потому, что он был создателем объекта ПК, и как таковой имел специальные разрешения на него.
Ваше утверждение в ответе Джека: "Любой объект, созданный после того, как я делегировал полномочия администратору сайта, показывает siteadmin с полным контролем. Есть несколько тысяч пользователей, которые были созданы до этого", - мне подсказывает, что происходит нечто подобное. Я предполагаю, что если вы откроете один из объектов, созданных siteadmin, и выберете Security -> Advanced -> Owner, вы обнаружите, что ваш siteadmin владеет этим объектом.
Если вы хотите, чтобы siteadmin имел полный контроль над этим подразделением, вам, вероятно, нужно явно предоставить это разрешение на вкладке безопасности в разделе расширенных функций, упомянутых Джеком. Разблокировать / изменить пароль возможно изменить.