我需要配置两种可以管理 AD 用户和安全组的用户:
- 类型 1 - 只能在特定 OU 中创建用户。
- 类型 2 - 只能更改在上述 OU 中创建的用户的组成员身份。
我是根据委派控制功能来做的。想法是没有单一的信任点来创建用户并将其添加到安全组,因此该操作至少需要 2 人。
类型 1用户的一切都很清楚。我刚刚为用户帐户配置了委派控制,并设法在仅设置 OU(即操作员)中创建用户。
对于类型 2,它变得更加复杂,因为正如我所注意到的,它不是与用户相关联的组,而是与组相关联的用户。我只能更改 1 个 OU(即 Operators 组)的组成员身份,但我可以将任何用户添加到该 OU 中的组。这意味着负责修改组成员身份的用户可以将自己添加到我不接受的任何组中,因为只有类型 1用户创建的用户才能添加到类型 2用户控制的安全组中。
从理论上讲,我只看到正确的解决方案如何实施,即限制安全组或 OU 级别以修改不允许 OU 中的用户的组成员身份,但是我正在谷歌搜索和调查 Microsoft 知识库但无法找到任何足够的信息如何做到这一点。
也许有人知道这是如何实现的,或者可以建议我如何实现必要的配置?