Назад | Перейти на главную страницу

AD LDS - LDAP - Как установить права группы на контейнер

Я установил AD LDS на W2012R2. Все работает нормально. Теперь я хочу создать новые роли, чтобы предоставить группам разрешения на создание / изменение / удаление пользователей в определенном контейнере. (Я использовал это статья)

Например, это мой экземпляр:

OU = extra, DC = domain, DC = local
| --CN = LostAndFound
| --CN = Роли
| - | ---- CN = Администраторы (создается по умолчанию)
| - | ---- CN = Читатели (созданы по умолчанию)
| - | ---- CN = Пользователи (создается по умолчанию)
| - | ---- CN = AdminGroupCustomer1 (Создано мной)
| --OU = Пользователи (создано по умолчанию, я просто выбрал имя и тип)
| - | ---- CN = Клиент1
| - | ---- | --CN = Пользователи
| - | ---- | - | --CN = user1
| - | ---- | --CN = Группы
| - | ---- | - | --CN = группа1
| - | ---- | --CN = Администраторы
| - | ---- | - | --CN = Admin1
| - | ---- CN = Клиент2
| - | ------ | ...

Я хочу предоставить группе AdminGroupCustomer1 разрешения на изменение чего-либо в OU = Customer1, но ничего на Customer2.

Вот что я сделал:

1 °) Добавить AdminCustomer1 (который на самом деле является пользователем AD), чтобы AdminGroupCustomer1 группа. хорошо
2 °) Добавить AdminGroupCustomer1 (что является ролью группы), чтобы Читатели групповая роль. хорошо (Это действительно нужно? ... Я так не думаю).
3 °) Выполните следующую команду DSACLS.EXE, чтобы предоставить разрешение на контейнер Customer1 группе AdminGroupCustomer1:

dsacls.exe "\\server:port\CN=Customer1,OU=Users,OU=extra,DC=domain,DC=local" /I:T /G "CN=AdminGroupCustomer1,CN=Roles,OU=extra,DC=domain,DC=local:GW" 

куда /ЭТО здесь для применения прав к объектам и подобъектам. И /ГРАММ предназначен для ГРАНТА прав. ГВт это общие разрешения на запись.

Но я все еще не могу изменить пароль пользователя user1, когда я подключен к экземпляру с пользователями AD, которые являются членами AdminGroupCustomer1. Я попытался : WP = Написать свойство и WD = Записать изменение безопасности безуспешно, поэтому я не совсем понимаю.

Информацию о разрешениях можно найти в следующих статья в технике.

Я что-то пропустил ?

Нужно ли мне устанавливать разрешение на запись для определенных свойств, которые мне нужно изменить? например, установить WP для свойства пароля, чтобы иметь возможность сбросить / изменить пароль пользователя?

Изменить: я должен переместить этот вопрос в SuperUser?

Была аналогичная проблема, и это помогло мне ее решить:

http://www.tech-archive.net/Archive/Windows/microsoft.public.windows.server.active_directory/2006-05/msg01913.html