Estou em uma grande organização com vários domínios em uma floresta e muitas UOs em cada domínio. Os administradores de domínio delegam a administração das UOs ao pessoal de TI que trabalha na UO. Eu sou uma dessas pessoas de TI. Posso criar e excluir sub-OUs em nossa OU, nos foi atribuída a capacidade de gerenciar GPOs que se aplicam a nós. etc. Temos grupos separados geograficamente para os quais criamos sub-OUs separadas e delegamos a capacidade de gerenciar essas UOs ao pessoal de lá.
Em um desses sites, temos um grupo com controle total da UO em que eles estão, mas não podemos modificar nenhum grupo que eles criaram. Por exemplo, se eu quiser adicionar uma conta a um grupo na UO, não tenho essa capacidade, embora tenha controle total da UO em que ela está. Percebo que o grupo de segurança tem uma lista de ACEs no arquivo security. guia e não tenho permissões lá.
Existe uma maneira de forçar um grupo de minha escolha a ser adicionado à lista ACE em todos os grupos de segurança em nossa UO?
Em seu snippet de usuário e computador do Active Directory, selecione primeiro para mostrar o recurso avançado.
Depois disso, clique com o botão direito do mouse no grupo que você deseja alterar o ACE e depois é como NTFS ACE. No mínimo, você pode selecionar para propagar a segurança pai, como você não tem acesso, acho que a segurança pai não foi aplicada a ela.
Você pode delegar a permissão de "leitura/gravação de membros" de um grupo de sua escolha na guia de propriedades da segurança avançada da UO de nível superior para "Objetos de grupo descendentes". Isso herdará todos os objetos de grupo em todas as UOs abaixo desse nível e permitirá que os membros do seu grupo alterem a associação ao grupo.
Seu próximo problema é verificar se a herança está habilitada em todos esses objetos de grupo.
O que você realmente precisa é de um modelo de delegação claramente definido para o Active Directory. A padronização da estrutura da UO é importante para a implementação desse modelo de delegação. As coisas podem ficar muito confusas muito rápido no AD quando você adiciona permissões únicas como esta. Como prática recomendada, as permissões do AD devem ser bloqueadas, padronizadas e delegadas apenas a grupos de segurança.