Я установил AD LDS на W2012R2. Все работает нормально. Теперь я хочу создать новые роли, чтобы предоставить группам разрешения на создание / изменение / удаление пользователей в определенном контейнере. (Я использовал это статья)
Например, это мой экземпляр:
OU = extra, DC = domain, DC = local
| --CN = LostAndFound
| --CN = Роли
| - | ---- CN = Администраторы (создается по умолчанию)
| - | ---- CN = Читатели (созданы по умолчанию)
| - | ---- CN = Пользователи (создается по умолчанию)
| - | ---- CN = AdminGroupCustomer1 (Создано мной)
| --OU = Пользователи (создано по умолчанию, я просто выбрал имя и тип)
| - | ---- CN = Клиент1
| - | ---- | --CN = Пользователи
| - | ---- | - | --CN = user1
| - | ---- | --CN = Группы
| - | ---- | - | --CN = группа1
| - | ---- | --CN = Администраторы
| - | ---- | - | --CN = Admin1
| - | ---- CN = Клиент2
| - | ------ | ...
Я хочу предоставить группе AdminGroupCustomer1 разрешения на изменение чего-либо в OU = Customer1, но ничего на Customer2.
Вот что я сделал:
1 °) Добавить AdminCustomer1 (который на самом деле является пользователем AD), чтобы AdminGroupCustomer1 группа. хорошо
2 °) Добавить AdminGroupCustomer1 (что является ролью группы), чтобы Читатели групповая роль. хорошо (Это действительно нужно? ... Я так не думаю).
3 °) Выполните следующую команду DSACLS.EXE, чтобы предоставить разрешение на контейнер Customer1 группе AdminGroupCustomer1:
dsacls.exe "\\server:port\CN=Customer1,OU=Users,OU=extra,DC=domain,DC=local" /I:T /G "CN=AdminGroupCustomer1,CN=Roles,OU=extra,DC=domain,DC=local:GW"
куда /ЭТО здесь для применения прав к объектам и подобъектам. И /ГРАММ предназначен для ГРАНТА прав. ГВт это общие разрешения на запись.
Но я все еще не могу изменить пароль пользователя user1, когда я подключен к экземпляру с пользователями AD, которые являются членами AdminGroupCustomer1. Я попытался : WP = Написать свойство и WD = Записать изменение безопасности безуспешно, поэтому я не совсем понимаю.
Информацию о разрешениях можно найти в следующих статья в технике.
Я что-то пропустил ?
Нужно ли мне устанавливать разрешение на запись для определенных свойств, которые мне нужно изменить? например, установить WP для свойства пароля, чтобы иметь возможность сбросить / изменить пароль пользователя?
Изменить: я должен переместить этот вопрос в SuperUser?
Была аналогичная проблема, и это помогло мне ее решить: