Я делегирую группу пользователей определенному человеку, чтобы иметь возможность не отставать от управления своей учетной записью, и делегировал им полномочия делать это только этой группе. Есть ли способ запретить этому же человеку просматривать групповые политики или другие организационные подразделения в ADUC?
Заранее спасибо за ваше время.
Да, но это сложно. Что вам нужно сделать, так это перевести свой домен в режим List Object. Это делается путем установки третьего числа в атрибуте dsHeuristics в контексте именования конфигурации на 1 в редактировании ADSI.
http://technet.microsoft.com/en-us/library/cc546864.aspx
Как только вы это сделаете, вы разблокируете режим List Object, который вы увидите как новое разрешение или ACE, которое вы можете назначить объектам Active Directory.
Это напоминает привилегию «обхода проверки обхода» в системе безопасности Windows, которая позволяет пользователю перемещаться по папке, к которой у него нет разрешений, чтобы попасть в папку, к которой у него есть разрешения.
В основном вы видите режим объектов списка AD, используемый в многопользовательских средах, где у вас есть несколько клиентов, использующих один и тот же домен AD, и вы не хотите, чтобы они могли видеть материалы друг друга.
Однако имейте в виду, что вы столкнетесь с ошибками приложения групповой политики на своих клиентах, если вы не будете очень и очень точны с вашими разрешениями. Механизм GP на клиенте должен прочитать gpLink, прочитать gpOptions, прочитать cn и прочитать Distinguished Name для каждого OU. в цепочке от того места, где они находятся, вплоть до корня домена, иначе приложение GPO завершится ошибкой.
Надеюсь, это поможет: