我想将TestUsers组织单位的控制权委托给用户NickA,并为其提供以下权限:
>创建,删除和管理用户帐户
>重置用户密码并在下次登录时强制更改密码
>阅读所有用户信息
>创建,删除和管理组
>修改组的成员身份
我找到的唯一方法是以下,但我找不到正确的权限分配:
$acc = Get-ADUser NickA $sid = new-object System.Security.Principal.SecurityIdentifier $acc.SID $guid = new-object Guid bf967aba-0de6-11d0-a285-00aa003049e2 $ou = Get-ADOrganizationalUnit -Identity TestUsers $acl = Get-ACL -Path "AD:$($ou.distinguishedname)" $acl.AddAccessRule($(new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid,"CreateChild,DeleteChild","Allow",$guid)) Set-ACL -ACLObject $acl -Path "AD:$($ou.distinguishedname)"
我还没有使用PowerShell处理ACL构建,但是这可以使用旧的DSACLS命令来完成,该命令是自Windows Server 2003以来RSAT和支持工具的一部分.
dsacls "OU=Test,DC=domain,DC=com" /I:S /G "domain\user:CA;Reset Password";user
将委派的OU的DN放在引号之间,并将用户放在/ G(grant)参数之后. / I:S参数告诉ACE仅继承子对象,CA参数代表Control Access.
有关语法的更多信息可以在TechNet或其他网站上找到.如果您需要使用PowerShell,请查看Update ACL Active Directory Provider documentation.
原文地址:https://www.jb51.cc/windows/367831.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。