我有一个服务用户(Active Directory 中的普通用户)user1,我们的自定义应用程序使用它来管理公司使用的 Active Directory 的某些方面。
我创建了一个名为 的安全AD Operators组user1。
我需要user1能够管理 Active Directory 中的其他组成员身份。为此,我已AD Operators通过“管理人”选项卡将组作为经理添加到所有相关组。我还勾选了“经理可以更新会员列表复选框。
但是,当代码使用user1的凭据运行并尝试保存更新的组成员列表时,我从 AD 收到拒绝访问错误。但是,如果我user1在“Managed By”中指定为组管理员而不是指定整个AD Operators组,则相同的代码可以很好地更新组。
如何让所有特定安全组成员能够管理 AD 中其他组的成员资格?
这可能不是提供您正在寻求的管理委派的适当接口。应该控制组成员管理的适当方法是通过控制委派向导委派控制。
您应该使用此工具和界面授予“AD Operators”安全组允许“写入成员”权限;或者 - 如果由向导引导 - 您可以选择“修改组的成员资格”常见任务。
您应该注意几个警告: