我在一个大型组织中,在一个森林中有多个域,每个域中有很多 OU。域管理员将 OU 的管理委派给在 OU 中工作的 IT 人员。我是那些 IT 人员中的一员。我可以在我们的 OU 中创建和删除子 OU,我们已被分配管理适用于我们的 GPO 的能力。等等。我们有地理上分开的组,我们为这些组创建了单独的子 OU,并将管理这些 OU 的能力委派给那里的人员。
在其中一个站点上,我们有一个组可以完全控制他们所在的 OU,但我们无法修改他们创建的任何组。例如,如果我想将帐户添加到 OU 中的组,我没有该功能,即使我完全控制它所在的 OU。我意识到安全组在安全性中有一个 ACE 列表选项卡,我在那里没有被授予权限。
有没有一种方法可以强制将我选择的组添加到我们 OU 下所有安全组的 ACE 列表中?
在您的 Active Directory 用户和计算机片段中,首先选择显示高级功能。
之后右键单击要更改 ACE 的组,然后就像 NTFS ACE。至少您可以选择传播父安全性,因为您没有访问权限,我猜父安全性没有应用于它。
您可以从顶级 OU 高级安全性的属性选项卡中将您选择的“读/写成员”权限委派给“后代组对象”。这将继承到该级别以下所有 OU 中的所有组对象,并允许您的组成员更改组成员身份。
您的下一个问题是验证在所有这些组对象上启用了继承。
您真正需要的是一个明确定义的 Active Directory 委派模型。标准化 OU 结构对于这种委托模型的实现很重要。当您像这样添加一次性权限时,AD 中的事情会很快变得非常混乱。作为最佳实践,AD 权限应该被锁定、标准化,并且只授权给安全组。