Active Directory, делегирование управления для определенного класса

Question

Active Directory, делегирование управления для определенного класса

В моей AD есть объекты, у которых для objectClass установлено значение device, и я хотел бы делегировать управление пользователям, не являющимся администраторами, чтобы они могли добавлять новые и удалять существующие объекты с установленным objectClass для устройства, но не другие объекты, имеющие objectClass. пользователь, компьютер или группа.

Я использую класс устройства, потому что этот класс имеет атрибут macAddress. Новые объекты создаются с помощью команды New-ADObject

New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"}

Из того, что я вижу, мастер управления делегированием или редактор ACL не предлагают такого детального управления, где я могу выбрать пользовательский объектный класс, для которого должны редактироваться свойства безопасности.

2

active-directory delegation

Источник

svakak 08 янв '14 в 16:12

1 ответ

Решение

Другие вопросы по тегам active-directory delegation

Evan Anderson 08 янв '14 в 18:08 2014-01-08 18:08 · Accepted Answer · 2014-01-08 18:08

Система разрешений в Active Directory определенно может делать то, что вы хотите. В качестве теста я настроил разрешение, которое вы ищете, используя ADSIEDIT:

Переместился в мою OU "Device Test", вызвал Properties и диалог "Advanced" Security
Добавлена группа "Test Device Admins Group", применяющаяся к "Этот объект и все дочерние объекты", предоставляющая разрешение "Разрешить" в "Создавать объекты устройства" и "Удалить объекты устройства"
Добавлена вторая запись контроля доступа (ACE), ссылающаяся на группу "Группа администраторов тестовых устройств", применяющуюся к "объектам устройства", предоставляющую разрешение "Полный доступ" (что, возможно, может быть слишком сложным для того, что вы ищете но для быстрого теста