Назад | Перейти на главную страницу

Делегирование управления - Windows Active Directory

Попытка создать учетную запись администратора сайта для домена Active Directory. Использование мастера делегирования полномочий Active Directory. учетной записи пользователя предоставлены права в подразделении. Однако при попытке использовать полномочия некоторые параметры неактивны. Текущие настройки позволяют администратору сайта редактировать учетные записи, созданные администратором сайта, значения не отображаются серым цветом. Когда администратор сайта пытается редактировать учетные записи пользователей, созданные администратором домена или предприятия, некоторые области становятся серыми.

Учетная запись пользователя, имеющая все права администратора, но ограниченная подразделением и его дочерними элементами. Желательны.

В пробном OU имеется ~ 50 пользовательских объектов, 8 из которых наследуют значение pwdLastSet. Изображение справа показывает один из объектов, наследующих разрешения. левое изображение показывает объект User, которого нет. они находятся в одном OU.

На вкладке «Безопасность» для большинства объектов есть моя группа поддержки, в то время как на вкладке «Безопасность» правого изображения есть группа поддержки с разрешениями.

по какой-то причине разрешения наследуются некоторыми, но не всеми объектами.

Обновить

Я пробовал использовать другое подразделение в другом лесу с теми же результатами. Шаг 1: создайте новую учетную запись пользователя в лесу. Шаг 2 справа. Организационное подразделение. Шаг 3: выберите моего нового пользователя. В OU 4 пользователя. Пользователи 1 и 2 я не могу редактировать. Пользователь 3 и 4, я могу редактировать как положено.

Обновить

Я создал тестовое подразделение с тестовыми пользователями и тестовым администратором / пользователем службы поддержки. в этих тестовых OU все работает именно так, как должно. Боюсь, что что-то не так с моим глобальным каталогом или схемой на данный момент.

Объекты, созданные в Active Directory, имеют разрешения «Создатель-владелец», предоставленные, в общем, Создателю / Владельцу. Это может иметь неожиданные последствия. Например, один из технических специалистов по настольным компьютерам на предыдущей работе обнаружил, что он может удалить некоторые ПК из AD, несмотря на то, что у него нет явного разрешения на это, но только если он был тем, кто их добавил. Это произошло потому, что он был создателем объекта ПК и, как таковой, имел на нем особые разрешения.

Ваше заявление по поводу ответа Джека: «Любой объект, созданный после того, как я делегировал полномочия администратору сайта, показывает, что администратор сайта имеет полный контроль. Есть несколько 1000 пользователей, которые были созданы до этого», - говорит мне, что происходит нечто подобное. Я полагаю, что если вы откроете один из объектов, созданных администратором сайта, и выберете Безопасность -> Дополнительно -> Владелец, вы обнаружите, что этот объект принадлежит вашему администратору сайта.

Если вы хотите, чтобы администратор сайта имел полный контроль над этим подразделением, вам, вероятно, необходимо явно предоставить это разрешение на вкладке безопасности в расширенных функциях, о которых упоминал Джек. Разблокировать / сменить пароль, вероятно, изменить.

Проверьте разрешения для обоих объектов. Чтобы просмотреть разрешения, вы просматриваете значок "Безопасность"так же, как с файлом или папкой.

Поскольку нет "Безопасность", вам нужно перейти на Посмотреть в Active Directory - пользователи и компьютеры и выберите Расширенные возможности. Затем вы сможете увидеть вкладку безопасности и проверить разрешения для объектов.