В моем AD есть объекты, для которых objectClass установлен на device, и я хотел бы делегировать управление пользователям, не являющимся администраторами, чтобы они могли добавлять новые и удалять существующие объекты с objectClass, установленным на device, но не другими объектами, которые имеют objectClass. пользователь, компьютер или группа.
Я использую класс устройства, потому что у этого класса есть атрибут macAddress. Новые объекты создаются командой New-ADObject
New-ADObject -Type device -Name NAME -Path "OU=MAC,DC=ddomain,DC=local” -Description DESCRIPTION -OtherAttributes @{'macAddress'="0011223344"}
Из того, что я вижу, мастер управления делегированием или редактор ACL не предлагают такой мелкозернистый элемент управления, в котором я могу выбрать настраиваемый объектный класс, свойства безопасности которого следует редактировать.
Система разрешений в Active Directory определенно может делать то, что вы хотите. Просто в качестве теста я устанавливаю разрешение, которое вы ищете, используя ADSIEDIT:
Перешел в мое подразделение «Тест устройства», открыл диалоговое окно «Свойства» и «Расширенная безопасность».
Добавлена группа «Группа администраторов тестового устройства», применяемая к «Этому объекту и всем дочерним объектам», предоставляющая разрешение «Разрешить» на «Создавать объекты устройств» и «Удалить объекты устройств».
Добавлена вторая запись управления доступом (ACE), относящаяся к группе «Test Device Admins Group», применяемая к «объектам устройств», предоставляющая разрешение «Полный доступ» (что, возможно, может быть слишком жестким для того, что вы ищете. но сделано для быстрой проверки