我想用有点扁平的方法创建一个新域。我想创建组并将用户放入组中,而不是根据项目、用户位置拥有多个 OU 和 sub-ou's 和 sub-ou's。
例如,所有用户将被放入DC=DOM,CN=LOC 中的一些 OU=Users 中,然后将创建多个组:
- GRP-LOC-华沙
- GRP-LOC-纽约
但是我最终考虑如何将权限委派给这些组,以便我可以让经理重置密码(或在华沙执行其他操作)。
似乎委派是基于每个 OU 完成的,如果我想进行精细控制(每个项目、位置、子位置等),我仍然坚持 OU?或者有人已经做到了,而我只是错过了一些东西?
密码管理只能委托给 OU,因为 OU 上的 ACL 条目通过继承传递给用户对象。组不会更改其包含的用户的 ACL。
您应该重新考虑扁平化广告的计划。
我建议如下:
1:构建一个作为Windows服务运行的程序,可以重置密码并执行适当的组和调用用户检查。程序可以通过适当使用命名管道来获取调用用户。请参阅https://stackoverflow.com/questions/12026971/get-client-user-token-from-named-pipe。
2:使用域管理员服务帐户将您的程序部署为 runas。
就股票 Windows 而言,Longneck 的回答是正确的。