Мы используем панели задач для удаления задач (например, сброса пароля) для удаленных администраторов; делегирование осуществляется на уровне OU; но, к сожалению, OU содержит некоторые специальные учетные записи / группы (например, учетные записи приложений и группы администраторов, что предусмотрено разработкой); мы не хотим, чтобы удаленные администраторы возились с ними. Есть ли способ сделать эти группы и учетную запись пользователя недоступными для удаленных администраторов, даже если они делегированы на уровне OU?
-> Было бы лучше, если бы мы могли сделать их невидимыми для удаленных администраторов, но я не думаю, что это правдоподобно. -> Эти учетные записи / группы не могут быть перемещены из соответствующего OU
Пожалуйста, дайте свои предложения, дайте мне знать, если возникнут вопросы или разъяснения.
Если вы делегируете минимальные разрешения, необходимые для управления учетными записями пользователей (сброс пароля, чтение атрибутов, запись атрибутов и разблокировка учетных записей только для учетных записей пользователей), то они не смогут ничего делать с группами, поэтому это не -выпуск. Тот факт, что они находятся в одном подразделении, не имеет значения, если вы правильно делегировали разрешения.
Попытка сделать что-то вроде того, чтобы пользователи не могли читать группы, возможна, но на самом деле это не правильный ответ на эту проблему и, вероятно, вызовет проблемы в будущем, поскольку поведение по умолчанию, которое мы делаем, чтобы все пользователи могли читать все членство в группе. Нарушение этого может иметь непредвиденные последствия, особенно со сторонними приложениями или вещами, которые не поддерживают LDAP, но, возможно, не знают AD.
Вы жестяная банка после отключения наследования отозвать разрешения «Чтение» и / или «Запись» из списков ACL соответствующих объектов группы и учетной записи, чтобы ACL OU не распространялись на эти объекты - см. документация для получения подробной информации о списках ACL и наследовании.
Чтобы сделать эти объекты невидимыми для пользователей без разрешения на чтение, вам необходимо включить режим объектов списка в своем каталоге и установить ACE объекта списка для рассматриваемых объектов контейнера. Снова увидеть документы для подробностей.